Material Cybersecurity Framework Foundation NIST

Prévia do material em texto

Curso preparatório oficial para o exame da certificação
Cybersecurity Framework Foundation (NIST)
[Overview]
Conteúdo
• Introdução ao NIST Cybersecurity Framework
• Frameworks e normas importantes em Segurança Cibernética
• Termos e definições
• Visão geral do NIST Cybersecurity Framework
• Gerenciamento de Riscos e o NIST Cybersecurity Framework
• Estrutura Básica do NIST Cybersecurity Framework
• Funções (Functions)
• Camadas de Implementação da Estrutura
• Perfis (Framework Profile)
• Estabelecimento ou Melhoria de um Programa de Segurança Cibernética
• Informar as partes interessadas sobre os Requisitos de Segurança Cibernética
• Metodologia para Proteger a Privacidade e as Liberdades Civis
• Anexo A: Núcleo da Estrutura (Appendix A: Framework Core)
• Simulados
Introdução ao NIST Cybersecurity Framework
• O NIST Cybersecurity framework tem por objetivo aperfeiçoar o gerenciamento de riscos de
segurança cibernética em infraestruturas críticas.
• O NIST Cybersecurity Framework fornece uma linguagem comum e uma metodologia sistemática
para gerenciar riscos de segurança cibernética.
• O NIST Cybersecurity Framework tem por objetivo ajudar as organizações a prevenir, detectar e
responder a ameaças cibernéticas e ataques cibernéticos, bem como melhorar as comunicações de
segurança cibernética e gerenciamento de riscos entre as partes interessadas internas e externas.
• O NIST Cybersecurity Framework fornece uma estrutura, com base em normas, diretrizes e práticas
existentes, para gerenciar e reduzir o risco de segurança cibernética.
• Trata-se de um dos frameworks de segurança da informação mais utilizados no mundo.
• A adoção do framework pode servir como base para um novo programa de segurança cibernética ou
um mecanismo para melhorar um programa existente.
• Uma organização pode usar o NIST Cybersecurity framework como parte fundamental de seu
processo sistemático para identificar, avaliar e gerenciar o risco de segurança cibernética.
Frameworks e normas importantes em Segurança Cibernética
• ISO/IEC 27001
– Sistemas de gestão da segurança da informação — Requisitos.
• ISO/IEC 27002
– Código de prática para controles de segurança da informação.
• ISO/IEC 27005
– Gestão de riscos de segurança da informação.
• ISO 31000
– Gestão de riscos – Diretrizes.
• COBIT (Control Objectives for Information and related Technology)
– Framework para Governança de TI.
• NIST Privacy Framework
– Estrutura de Gestão de Riscos de Privacidade publicada pelo NIST (National Institute of Standards
and Technology) - Instituto Nacional de Padrões e Tecnologia dos EUA.
4
Frameworks e normas importantes em Segurança Cibernética
• Risk Management Framework (RMF)
– Estrutura de Gestão de Riscos publicada pelo NIST.
• NIST Special Publication (SP) 800-53 - Security and Privacy Controls for Information Systems and
Organizations.
– Controles de segurança e privacidade para sistemas de informação e organizações publicado pelo
NIST (National Institute of Standards and Technology) - Instituto Nacional de Padrões e
Tecnologia dos EUA.
• Electricity subsector cybersecurity Risk Management Process (RMP) guideline.
– Processo de Gerenciamento de Risco (RMP) de Segurança Cibernética do Subsetor de
Eletricidade.
• CIS CSC - Center for Internet Security (CIS) - CIS Critical Security Controls (CSC)
– Controles Críticos de Segurança publicado pelo Center for Internet Security (CIS).
• ISA (International Society of Automation) –62443-2-1 Security for Industrial Automation and
Control Systems – ISA.
– Segurança para Automação Industrial e Sistemas de Controle publicado pela Sociedade
Internacional de Automação.
5
Termos e definições
• Categoria
– A subdivisão de uma função em grupos de resultados de segurança cibernética, intimamente
ligada as necessidades programáticas e atividades específicas. Exemplos de Categorias incluem
"Gerenciamento de ativos", "Gerenciamento de identidades e controle de acesso" e "Processos
de detecção".
• Segurança Cibernética
– O processo de proteção de informações prevenindo, detectando e respondendo a ataques.
• Evento de segurança cibernética
– Uma alteração de segurança cibernética que pode ter um Segurança impacto sobre as operações
organizacionais.
Termos e definições
• Incidentes de Segurança Cibernética
– Um evento de segurança cibernética que foi determinado como tendo um impacto na
organização, levando à necessidade de resposta e recuperação.
• Estrutura Básica
– Conjunto de atividades de segurança cibernética e referências que são comuns em setores de
infraestrutura crítica e são organizadas em torno de resultados específicos. A Estrutura Básica é
composta por quatro tipos de elementos: Funções, Categorias, Subcategorias e Referências
Informativas.
• Função
– Um dos principais componentes do Framework. As funções fornecem o nível mais alto de
estrutura para organizar atividades básicas de segurança cibernética em Categorias e
Subcategorias. Essas funções são Identificar, Proteger, Detectar, Responder e Recuperar.
Termos e definições
• Referências Informativas
– Uma seção específica de normas, diretrizes e práticas comuns entre os setores de infraestrutura
crítica que ilustram um método para alcançar os resultados associados a cada Subcategoria.
• Usuário Privilegiado
– Um usuário que está autorizado (e, portanto, confiável) a executar funções relevantes para a
segurança que usuários comuns não estão autorizados a executar.
• Risco
– Uma medida da extensão em que uma entidade é ameaçada por uma circunstância ou evento
em potencial, e tipicamente uma função de: (i) os impactos adversos que surgiriam se a
circunstância ou evento ocorresse; e (ii) a probabilidade de ocorrência.
Termos e definições
• Gerenciamento de Risco
– O processo de identificação, avaliação e resposta ao risco.
• Subcategoria
– A subdivisão de uma Categoria em resultados específicos de atividades técnicas e/ou de gestão.
• Taxonomia
– Um esquema de classificação.
Visão geral do NIST Cybersecurity Framework
• O NIST Cybersecurity framework é composto por 3 (três) partes:
– Núcleo da Estrutura (Framework Core);
– Camadas de Implementação (Framework Implementation Tiers);
– Perfil da Estrutura (Framework Profile).
Visão geral do NIST Cybersecurity Framework
• Núcleo da Estrutura (Framework Core)
– O Núcleo da Estrutura é um conjunto de atividades de segurança cibernética, resultados
desejados e referências aplicáveis que são comuns em setores de infraestrutura crítica.
– O Núcleo da Estrutura apresenta normas, diretrizes e práticas existentes de maneira a permitir a
comunicação das atividades e dos resultados da segurança cibernética em toda a organização,
desde o nível executivo até o nível de implementação/operacional.
– O Núcleo da Estrutura consiste de 5 (cinco funções) simultâneas e contínuas — Identificar,
Proteger, Detectar, Responder e Recuperar. Quando analisadas em conjunto, essas funções
fornecem uma visão estratégica de alto nível do ciclo de vida do gerenciamento do risco de
segurança cibernética de uma organização.
– O Núcleo da Estrutura identifica as principais Categorias e Subcategorias para cada Função e as
compara com exemplos de Referências Informativas, tais como normas, diretrizes e práticas
existentes para cada Subcategoria.
Visão geral do NIST Cybersecurity Framework
• Camadas de Implementação (Framework Implementation Tiers)
– As Camadas de Implementação apresentam contexto sobre como uma organização lida com o
risco de segurança cibernética e os processos envolvidos para gerenciar esse risco.
– As Camadas de Implementação descrevem o grau em que as práticas de gerenciamento do risco
de segurança cibernética de organização evidenciam as características definidas na estrutura.
– Existem 4 (quatro) camadas de implementação descritas na estrutura de segurança cibernética
do NIST, quanto mais alta a camada, mais próximo o programa de gerenciamento de riscos de
segurança cibernética da organização estádas características definidas na estrutura.
– As 4 camadas de implementação são:
• Nível 1: Parcial (Tier 1: Partial)
• Nível 2: Risco informado (Tier 2: Risk Informed)
• Nível 3: Repetível (Tier 3: Repeatable)
• Nível 4: Adaptável (Tier 4: Adaptative)
– Durante o processo de seleção de Camada de Implementação, uma organização deve levar em
consideração suas práticas atuais de gerenciamento de riscos, o ambiente de ameaças,
requisitos legais e regulamentares, objetivos de negócio, missão e restrições organizacionais.
Visão geral do NIST Cybersecurity Framework
• Perfil de Estrutura (Framework Profile)
– Uma Perfil de Estrutura (Perfil) representa os resultados com base nas necessidades de negócio
que uma organização selecionou a partir das Categorias e Subcategorias do framework.
– O Perfil pode ser caracterizado como o alinhamento de padrões, diretrizes e práticas com o
Núcleo de Framework Core em um cenário de implementação específico.
– Os perfis são usados ​​para identificar oportunidades de melhoria da segurança cibernética
comparando um Perfil Atual (estado atual) com um Perfil Alvo (estado desejado).
– Para desenvolver um Perfil, um organização deve revisar todas as Categorias e Subcategorias do
framework e, com base em seus indicadores de negócio, missão e uma avaliação de riscos e
determinar quais são as Categorias e Subcategorias mais importantes (podem ser adicionadas
categorias e subcategorias conforme necessário para lidar com os riscos da organização).
– O Perfil Atual pode então ser usado para apoiar a priorização e medição do progresso em direção
ao Perfil Desejado, ao mesmo tempo em que leva em consideração outras necessidades do
negócio, incluindo relação custo-benefício e inovação.
– Os perfis podem ser usados ​​para realizar autoavaliações e se comunicar dentro de uma
organização ou entre organizações.
Gerenciamento de Riscos e o NIST Cybersecurity Framework
• O Gerenciamento de Riscos é o processo contínuo de identificação, avaliação e resposta ao risco.
• Para gerenciar riscos, as organizações devem entender a probabilidade de que um evento ocorrerá e
os potencias impactos resultantes.
• Com essas informações, as organizações podem determinar o nível aceitável de risco para alcançar
seus objetivos organizacionais.
• As organizações podem escolher lidar com risco de diferentes maneiras, incluindo a mitigação do
risco, a transferência do risco, a prevenção do risco ou a aceitação do risco, dependendo do
impacto potencial na entrega de serviços críticos.
Gerenciamento de Riscos e o NIST Cybersecurity Framework
• O framework utiliza processos de gerenciamento de riscos para permitir que as organizações
informem e priorizem decisões relacionadas à segurança cibernética.
• O framework é adaptável para fornecer uma implementação flexível e baseada em risco que possa
ser usada com uma ampla gama de processos de gerenciamento de risco de segurança cibernética.
• Exemplos de processos de gerenciamento de riscos de segurança cibernética incluem:
– ISO 31000;
– ISO/IEC 27005;
– NIST Special Publication (SP) 800-39;
– Electricity Subsector Cybersecurity Risk Management Process (RMP) guideline - Processo de
Gerenciamento de Risco (RMP) de Segurança Cibernética do Subsetor de Eletricidade.
Estrutura Básica do NIST Cybersecurity Framework
• A Estrutura Básica fo framework fornece um conjunto de atividades para alcançar resultados
específicos de segurança cibernética e exemplos de referências (referências informativas) para
alcançar esses resultados.
• A Estrutura Básica é composta por 4 (quatro) elementos: Funções, Categorias, Subcategorias e
Referências Informativas.
Estrutura Básica do NIST Cybersecurity Framework
• Funções (Functions)
– As Funções organizam as atividades básicas de segurança cibernética em seu nível mais alto.
– São 5 (cinco) Funções:
• Identificar (Identify)
• Proteger (Protect)
• Detectar (Detect)
• Responder (Respond)
• Recuperar (Recover)
– As Funções ajudam uma organização a demonstrar seu gerenciamento de riscos de segurança
cibernética, organizando as informações, possibilitando decisões de gerenciamento de riscos,
abordando ameaças e aprimorando com base em atividades anteriores.
Estrutura Básica do NIST Cybersecurity Framework
• Categorias (Categories)
– Categorias são as subdivisões de uma Função em grupos de resultados de segurança cibernética
intimamente ligados a necessidades e atividades específicas.
– Existem 23 Categorias.
– Exemplos de Categorias incluem "Gerenciamento de Ativos", "Gerenciamento de Identidades e
Controle de Acesso" e "Processos de Detecção".
Estrutura Básica do NIST Cybersecurity Framework
• Subcategorias (Subcategories)
– As subcategorias desmembram uma Categoria em resultados específicos de atividades técnicas
e/ou de gerenciamento.
– As subcategorias fornecem um conjunto de resultados que, embora não sejam exaustivos,
ajudam a dar embasamento para a concretização dos resultados de cada Categoria.
– Existem 108 Subcategorias.
– Exemplos de subcategorias incluem: "Catalogação de Sistemas de Informação Externos",
"Proteção de Dados em Repouso" e "Investigação de Notificações de Sistemas de Detecção".
Estrutura Básica do NIST Cybersecurity Framework
• Referências Informativas (Informative References)
– As Referências Informativas são seções específicas sobre normas, diretrizes e práticas comuns
entre os setores de infraestrutura crítica que ilustram um método para alcançar os resultados
relacionados a cada subcategoria.
– Para cada subcategoria, é fornecido um recurso informativo que faz referência a seções
específicas de outros padrões de segurança da informação, incluindo ISO 27001, COBIT, NIST SP
800-53, ANSI/ISA-62443 e o CCS CSC (CCS CSC).
– As Referências Informativas apresentadas na Estrutura Básica são ilustrativas, exemplificativas e
não exaustivas.
Funções (Functions)
• Identificar (Identify)
– A função tem por objetivo desenvolver uma compreensão organizacional para gerenciar o risco
de segurança cibernética nos sistemas, pessoas, ativos, dados e recursos.
– As atividades na Função Identificar são fundamentais para o uso eficaz da estrutura.
– Compreender o contexto de negócios, os recursos que suportam as funções críticas e os riscos
de segurança cibernética relacionados permitem que uma organização priorize seus esforços,
de acordo com sua estratégia de gestão de riscos e necessidades de negócios.
Funções (Functions)
• Identificar (Identify)
– Existem 6 categorias na função Identificar:
• Gerenciamento de ativos (ID.AM)
– Os dados, pessoal, dispositivos, sistemas e instalações que permitem à organização
operar são identificados e gerenciados de forma consistente com sua importância
relativa para a organização e sua estratégia de risco.
• Ambiente de negócios (ID.BE)
– A missão, os objetivos, as partes interessadas e as atividades da organização são
entendidas, priorizadas e usadas para informar as funções, responsabilidades e
decisões de gerenciamento de riscos de segurança cibernética.
• Governança (ID.GV)
– As políticas, procedimentos e processos para gerenciar e monitorar os requisitos
regulatórios, legais, de risco, ambientais e operacionais da organização.
Funções (Functions)
• Identificar (Identity)
– Existem 6 categorias na função Identificar:
• Avaliação de risco (ID.RA)
– A organização entende o risco de segurança cibernética para cada função (incluindo
missão, imagem e reputação), ativos organizacionais e indivíduos.
• Estratégia de Gerenciamento de Riscos (ID.RM)
– As prioridades, restrições, tolerância a riscos e premissas da organização são
estabelecidas e usadas para apoiar as decisões de risco.
• Gerenciamento de risco da cadeia de suprimentos (ID.SC)
– As prioridades, restrições, tolerância e premissas da organização são estabelecidas e
usadas para apoiar decisões de risco relacionadas ao risco de terceiros. A organização
implementou um processo para identificar, avaliar e gerenciar os riscos da cadeia de
suprimentos,por exemplo, uma estrutura de gerenciamento de riscos de terceiros,
modelo de questionário de segurança do fornecedor e uma ferramenta de classificação
de segurança.
Funções (Functions)
• Proteger (Protect)
– A função Proteger tem por objetivo desenvolver e implementar salvaguardas adequadas para
garantir a entrega de serviços críticos.
– A função Proteger suporta a capacidade de limitar ou conter o impacto de um potencial evento
de segurança cibernética.
Funções (Functions)
• Proteger (Protect)
– Existem 6 categorias na função Proteger:
• Controle de acesso (PR.AC)
– O acesso a ativos e instalações é limitado a usuários, processos ou dispositivos
autorizados, além de atividades e transações autorizadas.
• Conscientização e treinamento (PR.AT)
– O pessoal e os parceiros recebem treinamento e conscientização de segurança
cibernética e podem executar suas tarefas e responsabilidades relacionadas à
segurança da informação, consistentes com políticas, procedimentos e acordos.
• Segurança de dados (PR.DS)
– Os dados confidenciais são gerenciados de forma consistente, de acordo com a
estratégia de risco da organização, para proteger sua confidencialidade, integridade e
disponibilidade.
Funções (Functions)
• Proteger (Protect)
– Existem 6 categorias na função Proteger:
• Processos e procedimentos de proteção de informações (PR.IP)
– Políticas de segurança da informação (que abordam o objetivo, escopo, funções,
responsabilidades, compromisso de gerenciamento e coordenação entre entidades),
processos e procedimentos são mantidos e usados ​​para proteger sistemas e ativos de
informação.
• Manutenção (PR.MA)
– A manutenção e os reparos dos controles e sistemas de informação são consistentes
com as políticas e procedimentos.
• Tecnologia protectiva (PR.PT)
– As soluções técnicas de segurança são gerenciadas para garantir a segurança e a
resiliência dos sistemas e ativos consistentes com as políticas, procedimentos e acordos.
Funções (Functions)
• Detectar (Detect)
– A função Detectar tem por objetivo desenvolver e implementar atividades adequadas para
identificar a ocorrência de um evento de segurança cibernética.
– A função Detectar permite a descoberta oportuna de eventos de segurança cibernética.
Funções (Functions)
• Detectar (Detect)
– Existem 3 categorias na função Detectar:
• Anomalias e eventos (DE.AE)
– A atividade anômala é detectada em tempo hábil e o impacto potencial é
compreendido.
• Monitoramento contínuo de segurança (DE.CM)
– Os sistemas e ativos de informação são monitorados continuamente para identificar
eventos de segurança e verificar a eficácia das medidas de proteção, por exemplo
software de classificação de segurança do fornecedor e detecção de vazamento de
dados.
• Processos de detecção (DE.DP)
– Os processos e procedimentos de detecção são mantidos e testados.
Funções (Functions)
• Responder (Respond)
– A função Responder tem por objetivo desenvolver e implementar atividades apropriadas para
agir em relação a um incidente de segurança cibernética detectado.
– A Função Responder suporta a capacidade de conter o impacto de um possível incidente de
segurança cibernética.
Funções (Functions)
• Responder (Respond)
– Existem 5 categorias na função Responder:
• Planejamento de respostas (RS.RP)
– Processos e procedimentos de resposta e praticados, executados e mantidos.
• Comunicações (RS.CO)
– As atividades de resposta são coordenadas com as partes interessadas internas e
externas.
• Análise (RS.AN)
– A análise é conduzida para garantir uma resposta adequada e apoiar as atividades de
recuperação.
• Mitigação (RS.MI)
– São realizadas atividades para impedir a propagação de um ataque cibernético,
mitigando seus efeitos e erradicando vetores de ataque.
• Melhorias (RS.IM)
– As atividades de resposta são aprimoradas incorporando práticas recomendadas, lições
aprendidas e outras informações.
Funções (Functions)
• Recuperar (Recover)
– A função Recuperar tem por objetivo desenvolver e implementar atividades apropriadas para
manter planos de resiliência e restaurar quaisquer recursos ou serviços que foram prejudicados
devido a um incidente de segurança cibernética.
– A Função Recuperar oferece suporte à recuperação de modo a reduzir o impacto de um
incidente de segurança cibernética.
Funções (Functions)
• Recuperar (Recover)
– Existem 3 categorias na função Recuperar:
• Planejamento de recuperação (RC.RP)
– Processos e procedimentos de recuperação são executados e mantidos para garantir a
restauração de sistemas ou ativos.
• Melhorias (RC.IM)
– O planejamento e os processos de recuperação são aprimorados incorporando práticas
recomendadas, lições aprendidas e outras informações.
• Comunicações (RC.CO)
– As atividades de restauração são coordenadas com a equipe interna e fornecedores de
terceiros.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• As Camadas de Implementação da estrutura fornecem contexto sobre como uma organização trata
o risco de segurança cibernética e os processos em vigor para gerenciar este risco.
• Variando de Parcial (Nível 1) a Nível Adaptável (Nível 4), as camadas descrevem um grau crescente
de rigor e sofisticação nas práticas de gerenciamento de riscos de segurança cibernética.
• As Camadas de Implementação ajudam a determinar até que ponto o gerenciamento do risco de
segurança cibernética é permeado pelas necessidades do negócio e está integrado às práticas de
gerenciamento de risco de uma organização.
• As considerações sobre gerenciamento de risco contemplam muitos aspectos de segurança
cibernética, incluindo o grau em que as considerações sobre privacidade e liberdades civis estão
integradas ao gerenciamento de risco de segurança cibernética e possíveis respostas a riscos de uma
organização.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• O processo de seleção de camada considera as práticas atuais de gerenciamento de risco de uma
organização, ambiente de ameaças, requisitos legais e regulamentares, práticas de
compartilhamento de informações, missão, objetivos de negócios, requisitos de segurança
cibernética da cadeia de suprimentos e restrições organizacionais.
• As organizações devem determinar o nível desejado, garantindo que o nível selecionado atenda aos
objetivos organizacionais, seja viável de implementar e reduza o risco de segurança cibernética para
ativos e recursos críticos em níveis aceitáveis ​​para a organização.
• Embora as organizações identificadas como Nível 1 (Parcial) sejam incentivadas a considerar a
mudança para o Nível 2 (Risco Informado) ou níveis mais altos, os níveis não representam níveis de
maturidade. As camadas são destinadas a apoiar a organização na tomada de decisão sobre como
gerenciar o risco de segurança cibernética, bem como quais dimensões do organização têm maior
prioridade e podem receber recursos adicionais.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 1: Parcial
– Processo de Gerenciamento de Risco
• As práticas de gerenciamento de risco de segurança cibernética organizacional não são
formalizadas, e o risco é gerenciado de maneira ad hoc e às vezes reativa.
• A priorização das atividades de segurança cibernética pode não estar diretamente permeada
pelos objetivos de risco organizacionais, pelo ambiente de ameaças ou pelos requisitos de
negócios/missão.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 1: Parcial
– Programa Integrado de Gerenciamento de Risco
• Existe uma consciência limitada do risco de segurança cibernética no nível organizacional.
• A organização implementa o gerenciamento de riscos de segurança cibernética de maneira
irregular, caso a caso, devido à experiência variada ou a informações obtidas de fontes
externas.
• A organização pode não ter processos que permitam que as informações de segurança
cibernética sejam compartilhadas internamente.
Camadas de Implementaçãoda Estrutura (Framework 
Implementation Tiers)
• Nível 1: Parcial
– Participação Externa
• A organização não entende seu papel no ecossistema maior com relação a suas
dependências ou dependentes.
• A organização não colabora com ou recebe informações de outras entidades (por exemplo,
compradores, fornecedores, pesquisadores, governos), nem compartilha informações.
• A organização geralmente não tem consciência dos riscos da cadeia de suprimentos
cibernéticos dos produtos e serviços que fornece e que usa.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 2: Risco Informado
– Processo de Gerenciamento de Risco
• As práticas de gerenciamento de risco são aprovadas pela administração, mas podem não
ser estabelecidas como políticas para toda a organização.
• A priorização das atividades de segurança cibernética e as necessidades de proteção são
permeadas diretamente pelos objetivos de risco organizacionais, pelo ambiente de ameaças
ou pelos requisitos de negócios/missão.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 2: Risco Informado
– Programa Integrado de Gerenciamento de Risco
• Há uma conscientização do risco de segurança cibernética no nível organizacional, mas não
foi estabelecida uma abordagem válida para toda a organização para gerenciar o risco de
segurança cibernética.
• Informações de segurança cibernética são compartilhadas informalmente dentro da
organização.
• Atenção à segurança cibernética em objetivos e programas organizacionais pode ocorrer em
alguns, mas não em todos os níveis da organização.
• A avaliação do risco cibernético de ativos organizacionais e externos ocorre, mas não é
tipicamente reproduzível ou recorrente.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 2: Risco Informado
– Participação Externa
• Geralmente, a organização entende seu papel no ecossistema maior com relação as suas
próprias dependências ou dependentes, mas não a ambos.
• A organização colabora e recebe algumas informações de outras entidades e gera algumas
de suas próprias informações, mas pode não compartilhar informações com outras pessoas.
• Além disso, a organização está ciente dos riscos da cadeia de suprimentos cibernéticos
associados aos produtos e serviços que fornece e usa, mas não age de maneira consistente
ou formal sobre esses riscos.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 3: Reproduzível
– Processo de Gerenciamento de Risco
• As práticas de gerenciamento de risco da organização são formalmente aprovadas e
expressas como política.
• Práticas organizacionais de segurança cibernética são atualizadas regularmente com base na
aplicação dos processos de gerenciamento de riscos às mudanças nos requisitos de
negócios/missão em cenário dinâmico de ameaças e tecnologia.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 3: Reproduzível
– Programa Integrado de Gerenciamento de Risco
• Existe uma abordagem para toda a organização para gerenciar o risco de segurança
cibernética.
• Políticas, processos e procedimentos de conhecimento de riscos são definidos,
implementados conforme pretendido e revisados.
• Existem métodos consistentes para responder de forma eficaz às mudanças no risco.
• Os funcionários possuem o conhecimento e as habilidades para desempenhar suas funções
e responsabilidades.
• A organização monitora consistentemente e com precisão o risco de segurança cibernética
dos ativos organizacionais.
• Executivos seniores de segurança cibernética e executivos de outras áreas se comunicam
regularmente sobre o risco de segurança cibernética. Executivos seniores asseguram a
análise da segurança cibernética em todas as linhas de operação da organização.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 3: Reproduzível
– Participação Externa
• A organização entende seu papel, dependências e dependentes no ecossistema maior e
pode contribuir para o entendimento mais amplo da comunidade sobre os riscos.
• Colabora e recebe regularmente informações de outras entidades que complementam
informações geradas internamente, e compartilha informações com outras entidades.
• A organização está ciente dos riscos da cadeia de suprimentos cibernéticos associados aos
produtos e serviços que ela fornece e que ela utiliza.
• Estruturas de governança e implantação e monitoramento de políticas.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 4: Adaptável
– Processo de Gerenciamento de Risco
• A organização adapta suas práticas de segurança cibernética com base em atividades de
segurança cibernética anteriores e atuais, incluindo lições aprendidas e indicadores
preditivos.
• Por meio de um processo de aperfeiçoamento contínuo que incorpora tecnologias e práticas
avançadas de segurança cibernética, a organização se adapta ativamente a um cenário de
ameaças e tecnologias em constante mudança e responde de maneira oportuna e eficaz às
ameaças sofisticadas e em evolução.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 4: Adaptável
– Programa Integrado de Gerenciamento de Risco
• Existe uma abordagem para toda a organização para o gerenciamento do risco de segurança
cibernética que usa políticas, processos e procedimentos de conhecimento de risco para tratar
possíveis ocorrências de segurança cibernética.
• A relação entre o risco de segurança cibernética e os objetivos organizacionais é claramente
entendida e analisada durante o processo de tomada de decisões. Executivos seniores
monitoram o risco de segurança cibernética no mesmo contexto que o risco financeiro e outros
riscos organizacionais.
• O orçamento organizacional baseia-se na compreensão do ambiente de risco atual e o previsto,
assim como na compreensão da tolerância ao risco.
• As unidades de negócios implementam a visão executiva e analisam os riscos no nível do sistema
no contexto das tolerâncias de risco organizacionais.
• O gerenciamento de riscos de segurança cibernética faz parte da cultura organizacional e evolui a
partir da conscientização das atividades anteriores e da conscientização contínua das atividades
em seus sistemas e redes.
• A organização pode responder de forma rápida e eficiente às mudanças nos objetivos de
negócio/missão sobre como o risco é abordado e comunicado.
Camadas de Implementação da Estrutura (Framework 
Implementation Tiers)
• Nível 4: Adaptável
– Participação Externa
• A organização entende seu papel, dependências e dependentes no ecossistema maior e
contribui para a compreensão mais ampla da comunidade sobre os riscos.
• Ela recebe, gera e analisa informações priorizadas que informam a análise contínua de seus
riscos à medida que os cenários de ameaças e tecnologia evoluem.
• A organização compartilha essas informações internamente e externamente com outros
colaboradores.
• A organização usa informações em tempo real ou quase em tempo real para entender e agir
de forma consistente sobre os riscos da cadeia de suprimentos cibernéticos associados aos
produtos e serviços que ela oferece e utiliza. Além disso, a organização se comunica de
forma proativa, usando mecanismos formais (por exemplo, acordos) para desenvolver e
manter fortes relacionamentos com a cadeia de fornecimento.
Perfis (Framework Profile)
• Um Perfil é o alinhamento das Funções, Categorias e Subcategorias com os requisitos do negócios,
tolerância ao risco e os recursos da organização.
• Um Perfil permite que as organizações estabeleçam um roteiro eficaz para reduzir o risco de
segurança cibernética e que esteja alinhado com os objetivos organizacionais, considere os
requisitos legais e regulatórios e as melhores práticas da indústria e reflita as prioridades de
gerenciamento de riscos da organização.
• Os Perfis podem ser usadas para descrever o estado atual ou o estado desejado de atividades de
segurança cibernética específicas.• O Perfil Atual (Current Profile) indica os resultados da segurança cibernética que estão sendo
alcançados atualmente.
• O Perfil Desejado (Target Profile) indica os resultados necessários para alcançar as metas desejadas
de gerenciamento de riscos de segurança cibernética.
Perfis (Framework Profile)
• Os Perfis oferecem suporte aos requisitos de negócios e ajudam na comunicação de riscos dentro da
organização.
• O framework não prescreve modelos de Perfil, permitindo flexibilidade na implementação.
• A comparação de Perfis (por exemplo, Perfil Atual e Perfil Desejado) pode revelar as lacunas a serem
tratadas de modo a atender aos objetivos de gerenciamento de riscos da segurança cibernética.
• Esta abordagem baseada em risco permite que uma organização avalie os recursos necessários para
atingir as metas de segurança cibernética de uma maneira eficaz e priorizada.
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• As etapas a seguir ilustram como uma organização pode usar o Framework para criar um novo
programa de segurança cibernética ou melhorar um programa existente. Essas etapas devem ser
repetidas conforme necessário para melhorar continuamente a segurança cibernética.
– Etapa 1: Priorizar e determinar o Escopo (Prioritize and Scope)
– Etapa 2: Orientar (Orient)
– Etapa 3: Criar um Perfil Atual (Create a Current Profile)
– Etapa 4: Realizar uma avaliação de risco (Conduct a Risk Assessment)
– Etapa 5: Criar um Perfil Alvo (Create a Target Profile)
– Etapa 6: Determinar, Analisar e Priorizar as Falhas (Determine, Analyze, and Prioritize Gaps)
– Etapa 7: Implementar o Plano de Ação (Implement Action Plan)
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• Etapa 1: Priorizar e determinar o Escopo (Prioritize and Scope)
– A organização identifica seus objetivos de negócios/missão e prioridades organizacionais de alto
nível. Com essas informações, a organização toma decisões estratégicas sobre implementações
de segurança cibernética e determina o escopo de sistemas e ativos que suportam a linha de
negócios ou processo selecionado. O Guia pode ser adaptado para suportar as diferentes linhas
de negócios ou processos dentro de uma organização, que podem ter diferentes necessidades
empresariais e tolerância a riscos associados. As tolerâncias a riscos podem ser refletidas em um
Nível de Implementação desejado.
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• Etapa 2: Orientar (Orient)
– Uma vez que o escopo do programa de segurança cibernética tenha sido determinado para os
seus processos, a organização identifica sistemas e ativos relacionados, os requisitos
regulatórios e a abordagem geral de risco. A organização então consulta fontes para identificar
ameaças e vulnerabilidades aplicáveis aos sistemas e ativos.
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• Etapa 3: Criar um Perfil Atual (Create a Current Profile)
– A organização desenvolve uma Perfil Atual, indicando quais resultados de Categoria e
Subcategoria da Estrutura Básica estão sendo alcançados no momento. Se um resultado for
parcialmente alcançado, observar esse fato ajudará a dar suporte às etapas subsequentes,
fornecendo informações básicas.
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• Etapa 4: Realizar uma avaliação de risco (Conduct a Risk Assessment)
– Esta avaliação pode ser orientada pelo processo geral de gerenciamento de riscos da
organização ou atividades anteriores de avaliação de risco.
– A organização analisa o ambiente operacional para identificar a probabilidade de um evento de
segurança cibernética e o impacto que tal evento poderia ter na organização.
– É importante que as organizações identifiquem os riscos emergentes e usem informações de
ameaças cibernéticas de fontes internas e externas para obter uma melhor compreensão da
probabilidade e de eventos de segurança cibernética.
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• Etapa 5: Criar um Perfil Alvo (Create a Target Profile)
– A organização cria um Perfil Desejado (Target Profile) que foca na avaliação das Categorias e
Subcategorias do framework que descrevem os resultados de segurança cibernética desejados
pela organização.
– As organizações também podem desenvolver suas próprias Categorias e Subcategorias adicionais
para atender a riscos organizacionais exclusivos.
– A organização também pode considerar influências e requisitos de partes interessadas externas,
como clientes e parceiros de negócios ao criar um Perfil Desejado (Target Profile).
– O Perfil Desejado (Target Profile) deve refletir adequadamente os critérios dentro do Nível de
Implementação desejado.
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• Etapa 6: Determinar, Analisar e Priorizar as Falhas (Determine, Analyze, and Prioritize Gaps)
– A organização compara o Perfil Atual e o Perfil Desejado (Target Profile) para determinar as
lacunas. Em seguida, ela cria um plano de ação priorizado para endereçar as lacunas —
refletindo os objetivos de negócio, missão, custos e benefícios e riscos — para alcançar os
resultados desejados.
– A organização então define os recursos necessários para suprir as lacunas.
– Usar Perfis dessa maneira incentiva o organização a tomar decisões informadas sobre as
atividades de segurança cibernética, oferencendo suporte ao gerenciamento de risco e
permitindo melhorias.
Estabelecimento ou Melhoria de um Programa de Segurança 
Cibernética (Establishing or Improving a Cybersecurity Program)
• Etapa 7: Implementar o Plano de Ação (Implement Action Plan)
– A organização determina quais ações devem ser tomadas para lidar com as lacunas
identificadas na etapa anterior e, em seguida, ajusta suas práticas atuais de segurança
cibernética para alcançar o Perfil Desejado (Target Profile).
– Para obter mais orientações, o Framework identifica exemplos de Referências Informativas
sobre as categorias e subcategorias, sendo que as organizações devem determinar quais
padrões, diretrizes e práticas, incluindo aqueles que são específicos do setor (ISO/IEC 27001,
COBIT, NIST 800-53, CIS SCS, etc…) funcionam melhor para suas necessidades.
– A organização repete as etapas conforme necessário para avaliar e melhorar continuamente
sua segurança cibernética. Além disso, as organizações podem monitorar o progresso por meio
de atualizações interativas do Perfil Atual, comparando subsequentemente o Perfil Atual com o
Perfil Desejado (Target Profile).
Informar as partes interessadas sobre os Requisitos de Segurança
Cibernética (Communicating Cybersecurity Requirements with
Stakeholders)
• O Framework fornece uma linguagem comum para comunicar os requisitos entre as partes
interessadas responsáveis ​​pela entrega de produtos e serviços essenciais de infraestrutura crítica.
• O SCRM (Supply Chain Risk Management) é o conjunto de atividades necessárias para gerenciar os
riscos de segurança cibernética associados a terceiros.
• O objetivo principal do SCRM é identificar, avaliar e mitigar produtos e serviços que podem conter
funcionalidade potencialmente maliciosa ou vulneráveis ​​devido a práticas precárias de fabricação e
desenvolvimento na cadeia de suprimentos cibernética.
• As atividades de ​​SCRM podem incluir:
– Determinar os requisitos de segurança cibernética para fornecedores;
– Aplicar requisitos de segurança cibernética por meio de um acordo formal (por exemplo,
contratos);
– Comunicar aos fornecedores sobre como esses requisitos de segurança cibernética serão
verificados e validados.
Metodologia para Protegera Privacidade e as Liberdades Civis
(Methodology to Protect Privacy and Civil Liberties)
• Para lidar com as implicações de privacidade, as organizações devem considerar como seus
programas de segurança cibernética podem incorporar princípios de privacidade, tais como:
– Minimização de dados na coleta;
– Divulgação e retenção de material de informações pessoais relacionadas ao incidente de
segurança cibernética;
– Limitações de uso fora das atividades de cibersegurança em qualquer informação coletada
especificamente para atividades de segurança cibernética Transparência para certas atividades
de segurança cibernética;
– Consentimento individual e reparação de impactos adversos decorrentes do uso de informações
pessoais em atividades de segurança cibernética;
– Qualidade, integridade e segurança dos dados;
– Prestação de contas e auditoria.
Metodologia para Proteger a Privacidade e as Liberdades Civis
(Methodology to Protect Privacy and Civil Liberties)
• Os seguintes processos e atividades podem ser considerados como um meio de lidar com as
implicações de privacidade e liberdades civis:
– Governança do risco de segurança cibernética;
– Abordagens para identificar, autenticar e autorizar indivíduos para acessar os ativos e sistemas
organizacionais;
– Medidas de conscientização e treinamento;
– Detecção de atividade anômala e monitoramento de sistemas e ativos;
– Atividades de resposta, incluindo compartilhamento de informações ou outros esforços de
mitigação.
Anexo A: Núcleo da Estrutura (Appendix A: Framework Core)
• O Anexo A do framework apresenta a Estrutura Básica: uma lista de Funções, Categorias,
Subcategorias e Referências Informativas que descrevem atividades específicas de segurança
cibernética que são comuns em todos os setores de infraestrutura crítica.
• O formato de apresentação escolhido para a Estrutura Básica não sugere uma ordem de
implementação específica ou um grau de importância das Categorias, Subcategorias e Referências
Informativas. A Estrutura Básica apresentada no Anexo A representa um conjunto comum de
atividades para gerenciar o risco de segurança cibernética.
Anexo A: Funções e categorias
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Anexo A: Núcleo da estrutura
Referências bibliográficas
• NIST Cybersecurity Framework Version 1.1. Disponível em https://www.nist.gov/cyberframework.
• NIST Privacy Framework. . Disponível em https://www.nist.gov/privacy-framework/privacy-
framework.
• NIST Special Publication 800-53 Revision 5. Disponível em
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf.
• CIS Controls - Center for Internet Security. Disponível em https://www.cisecurity.org/controls/cis-
controls-list/.
• COBIT. Disponível em https://www.isaca.org/resources/cobit.
• ISA-62443-2-1-2009, Security for Industrial Automation and Control Systems Part 2-1: Establishing an 
Industrial Automation and Control Systems Security Program. Disponível em
https://www.isa.org/products/isa-62443-2-1-2009-security-for-industrial-automat.
• ISO/IEC 27001 Tecnologia da informação - Técnicas de segurança – Sistema de Gestão da segurança
da informação - Requisitos.
• ISO/IEC 27005 Tecnologia da informação - Técnicas de segurança – Gestão de riscos de segurança da
informação.
• ABNT NBR ISO 31000:2018. Gestão de Riscos – Diretrizes.