Este é o quarto artigo de uma série completa sobre os pilares do NIST® Cybersecurity Framework 2.0. Desta vez, exploraremos de perto o pilar “responder” e forneceremos dicas para os CISOs avaliarem a eficácia de suas ações de cibersegurança.
Leia o primeiro artigo da série: NIST® Cybersecurity Framework: identificando ameaças cibernéticas.
Por dentro do NIST® Cybersecurity Framework
Recapitulando brevemente, O NIST® (National Institute of Standards and Technology) é uma agência governamental dos Estados Unidos que fornece diretrizes e padrões técnicos para diversas áreas, incluindo a cibersegurança.
O Instituto tem desempenhado um papel crucial no estabelecimento de padrões para a segurança cibernética. Ao adotar essas diretrizes, as organizações podem criar um ambiente mais seguro, identificando e gerenciando riscos de maneira eficaz, promovendo a padronização e a consistência nas práticas de cibersegurança, seja em empresas iniciantes na implementação de cibersegurança ou com práticas já robustas de proteção.
O NIST® 2.0 se concentra em seis pilares principais para fortalecer a postura de segurança de uma organização: identificar, proteger, detectar, responder, recuperar e governar.
Enquanto o primeiro pilar, “identificar”, ajuda a determinar o atual risco de segurança cibernética da organização, identificando e gerenciando os ativos e sistemas, o pilar “proteger” aborda a capacidade de proteger esses ativos para prevenir ou diminuir a probabilidade e o impacto de eventos adversos de segurança cibernética, bem como aumentar a probabilidade de aproveitar as oportunidades.
O pilar seguinte, “detectar”, permite a descoberta e análise de anomalias e eventos adversos que podem indicar que incidentes estão acontecendo. É quando os possíveis ataques e comprometimentos de segurança cibernética são encontrados e analisados.
Já as ações do pilar “responder” servem para conter os efeitos de um ataque cibernético. Ou seja, todas as atividades que abrangem o gerenciamento de incidentes, análise, mitigação, relatórios e ações de comunicação. Continue a leitura para se aprofundar.
O pilar é subdividido em quatro categorias que, juntas, colaboram para proteger os ecossistemas digitais. Vamos entender cada uma delas:
1. Gestão de incidentes
Nesta etapa, é o momento de colocar em prática as ações para conter um ataque cibernético.
Na prática:
- Uma vez que um incidente é detectado, o plano de resposta a incidentes é executado em coordenação com terceiros.
- Os relatórios de incidentes são triados e validados.
- Os incidentes são categorizados e priorizados.
- Os incidentes são escalados ou elevados conforme necessário.
- Os critérios para iniciar a recuperação de incidentes são aplicados.
2. Análise de incidentes
As investigações são conduzidas para garantir uma resposta eficaz e apoiar atividades forenses e de recuperação.
Na prática:
- A análise é realizada para estabelecer o que ocorreu durante um incidente e sua causa raiz.
- As ações realizadas durante uma investigação são registradas e a integridade e a procedência dos registros são preservadas.
- Os dados e metadados do incidente são coletados e sua integridade e procedência são preservadas.
- A magnitude de um incidente é estimada e validada.
3. Relatórios e comunicação de resposta a incidentes
Aqui, as atividades de resposta são coordenadas com as partes interessadas internas e externas, conforme exigido por leis, regulamentos ou políticas.
Na prática:
- As partes interessadas internas e externas são informadas e notificadas sobre os incidentes.
4. Mitigação de incidentes
As atividades são realizadas para evitar a expansão de um evento e mitigar seus efeitos.
Na prática:
- Os incidentes são contidos e erradicados.
Como o CISO sabe que o pilar “responder” foi implementado com sucesso?
É importante observar a eficácia e prontidão da equipe e dos processos envolvidos na resposta a incidentes de segurança. O primeiro indicador importante é a existência de um plano de resposta a incidentes devidamente documentado e atualizado, que inclua os procedimentos para mitigar, conter e resolver os incidentes. Esse plano deve ser conhecido por toda a equipe e testado regularmente.
Confira o checklist para avaliação:
- Plano de resposta a incidentes documentado: existe um plano atualizado, documentado e acessível a toda a equipe?
- Testes regulares do plano: o plano de resposta a incidentes é testado periodicamente por meio de simulações e exercícios?
- Indicadores de tempo de resposta (MTTR): o Mean Time to Respond está sendo medido e está dentro dos limites aceitáveis?
- Eficiência da comunicação: existem canais de comunicação claros, tanto para notificação interna (equipe, liderança) quanto externa (clientes, acionistas, autoridades)?
- Equipe de resposta a incidentes treinada: a equipe responsável pela resposta está devidamente treinada e equipada com as ferramentas necessárias
- Ferramentas adequadas: a equipe possui as ferramentas necessárias para mitigar, conter e resolver incidentes de forma eficaz?
- Processo de pós-incidente: após cada incidente, uma análise pós-incidente é conduzida para identificar lições aprendidas?
- Documentação de relatórios pós-incidentes: relatórios pós-incidente são registrados e compartilhados com a alta administração?
- Aprimoramento contínuo: o processo de resposta a incidentes é continuamente revisado e atualizado com base nas lições aprendidas?
Quer implementar o NIST® Cybersecurity Framework?
Agora que você já conhece a importância desse framework de segurança tão indispensável, continue explorando o passo a passo para uma implementação de sucesso e conheça o nosso portfólio de produtos orientado pelo NIST® Cybersecurity Framework.
Baixe o material para começar a elevar sua segurança cibernética.
Converse com um de nossos especialistas para conhecer a solução ideal para proteger o seu negócio.
Acesse também nossas redes sociais:
