Como alinhar sua estratégia de cibersegurança usando o framework NIST em sua empresa.

 

Escrito por: Eduardo Reyes

Tempo de leitura: 5 minutos

O que abordamos:

1. O que é NIST?

2. Principais objetivos do framework NIST

3. Quais as funções NIST

4. Como implementar NIST com uma rotina corrida

5. Solução para estar em compliance

Os dados são um dos ativos mais valiosos de qualquer empresa, tornando-se alvos preferenciais para cibercriminosos. Somente no ano passado, foram registradas 60 bilhões de tentativas de ciberataques no Brasil, de acordo com o portal Olhar Digital. Esses ataques têm se tornado cada vez mais sofisticados e direcionados, reforçando a necessidade de as empresas investirem em medidas robustas de cibersegurança e compliance para se proteger.

Entre essas medidas estão: a implementação de políticas de segurança claras, treinamentos regulares para colaboradores sobre boas práticas digitais e auditorias frequentes. Além disso, cumprir regulamentações como a LGPD (Lei Geral de Proteção de Dados) e aderir a padrões internacionais, como os estabelecidos pelo NIST (National Institute of Standards and Technology), é fundamental para criar uma cultura organizacional voltada à proteção de dados e à mitigação de riscos. Essas ações garantem não apenas a conformidade com a legislação brasileira, mas também com os mais altos padrões globais.

A LGPD, por ser uma legislação brasileira, é amplamente conhecida por empresas de todos os portes no país. Mas e o NIST? Qual é o seu papel no cenário da cibersegurança mencionado anteriormente?

Para muitas empresas, especialmente pequenas e médias, gerir a cibersegurança é um grande desafio, muitas vezes devido à falta de conhecimento sobre como iniciar esse processo. É nesse contexto que o NIST se destaca.

O que é o NIST?

O NIST é uma agência federal dos Estados Unidos responsável pelo desenvolvimento do Framework de Segurança Cibernética (NIST CSF). Este framework é um conjunto de diretrizes voluntárias que ajudam organizações a gerenciar e reduzir riscos de segurança cibernética.

Projetado para ser flexível e escalável, o framework facilita sua implementação por empresas de todos os portes, desde grandes corporações até pequenas empresas, permitindo que adaptem suas práticas de cibersegurança às suas necessidades específicas.

Os principais objetivos do framework NIST são:

1. Melhorar a proteção contra ameaças cibernéticas, criando diretrizes práticas e acessíveis.
2. Estabelecer normas de gestão de riscos, aplicáveis a diferentes setores e indústrias.
3. Facilitar o cumprimento de regulamentações e padrões internacionais, garantindo segurança consistente e eficaz.

Recentemente, nos dias 6 e 7 de novembro de 2024, a ABIN (Agência Brasileira de Inteligência) participou do seminário internacional "Construindo um futuro digital confiável", onde foram discutidos temas como o surgimento de tecnologias emergentes e o futuro da cibersegurança. O evento contou com representantes de grandes empresas de tecnologia e do NIST.

A participação do NIST nesse evento destacou a importância da regulamentação no Brasil, mostrando como organizações estão implementando e adequando-se a padrões globais. Esses esforços têm resultado em sucessos significativos, como a redução de ataques cibernéticos, fraudes digitais e vazamentos de dados, fortalecendo o ecossistema de cibersegurança no país.

Quais são as 5 funções NIST?

O framework do NIST é estruturado em cinco funções principais, que fornecem uma visão estratégica do gerenciamento de riscos cibernéticos:

1. Identificar: compreender os riscos cibernéticos para sistemas, pessoas, dados e ativos organizacionais.
2. Proteger: implementar controles para reduzir as chances e os impactos de eventos adversos.
3. Detectar: desenvolver mecanismos para identificar ameaças e incidentes de forma proativa.
4. Responder: criar planos para conter e minimizar os impactos de incidentes de segurança.
5. Recuperar: implementar estratégias de continuidade de negócios e recuperação de desastres.

Embora o framework do NIST tenha sido projetado para facilitar sua adoção, algumas organizações, especialmente pequenas e médias empresas, enfrentam dificuldades para implementá-lo devido à falta de recursos, infraestrutura adequada e equipes reduzidas ou com pouco conhecimento em compliance.

Como conciliar a rotina de TI com o compliance?

A boa notícia é que existem soluções que tornam essa tarefa mais simples. Na BluePex®, oferecemos ferramentas que ajudam empresas a alinhar-se às diretrizes do NIST. Para cada função do framework, dispomos de soluções que:

1. Auxiliam no mapeamento de ativos.
2. Avaliam vulnerabilidades.
3. Realizam monitoramento contínuo.
4. Respondem a incidentes de forma eficiente, entre outras funcionalidades.

Nossas ferramentas também se integram facilmente aos ambientes existentes, fornecendo relatórios personalizados e orientando as equipes de TI na tomada de decisões estratégicas.

                                                               BLOG BLUEPEX

BLUEPEX® FRAMEWORK | Um Guia Prático Gratuito para Proteger Seu Mundo Digital

 

No cenário digital em constante evolução, a segurança cibernética tornou-se uma necessidade vital para indivíduos e empresas. Reconhecendo a importância de capacitar as pessoas com conhecimento prático, a BluePex® apresenta seu BluePex® Cybersecurity Framework, uma fonte abrangente e gratuita para auxiliar na proteção da infraestrutura digital, e manter sua empresa em compliance às normas e leis vigentes.

O que o Framework oferece:

• Saiba o que é o BluePex® Framework Cybersecurity
• Quais são seus benefícios
• Como implementar o BluePex® Framework Cybersecurity
• Inventário de Software e Hardware
• Gerenciamento de Firewall UTM
• Gerenciamento de Antivírus (EDR)
• Segurança para E-mail
• Gerenciamento de Atualizações de Software
• Gerenciamento de Backup
• Gerência de Acesso
• Gestão de Pessoas e Segurança
• Plataforma para Tickets
• Estudos de Casos

Faça o download gratuito do nosso BluePex® Framework Cybersecurity agora e embarque na jornada para um ambiente digital mais seguro e protegido. Proteja-se, proteja seus dados e navegue com confiança no vasto universo digital.

                                                                    BLOG: BLUEPEX

Competência da União em defesa cibernética passa no Senado e vai à Câmara

PEC 3/20 inclui o tema no rol constitucional de competências privativas da União

O Plenário do Senado aprovou a proposta de emenda à Constituição que confere à União competência privativa para legislar sobre defesa cibernética (PEC 3/2020).

Por acordo de lideranças, houve a quebra de interstício entre o primeiro e o segundo turnos. A proposta recebeu, na votação em primeiro turno, 64 votos favoráveis e apenas um contrário. No segundo turno, foi aprovada de forma unânime, com 68 votos favoráveis. A PEC segue agora para a análise da Câmara dos Deputados.

Com o senador Eduardo Gomes (PL-TO) como primeiro signatário, a proposta inclui a “defesa cibernética” na lista de temas sobre os quais somente a União pode legislar. Também inclui, entre as atribuições comuns à União, aos estados, aos municípios e ao Distrito Federal, a obrigação de zelar pela “segurança cibernética” dos serviços públicos.

Segurança cibernética e defesa cibernética são conceitos distintos. A segurança cibernética trata da proteção de sistemas, redes e dados contra qualquer forma de ataque ou acesso indevido. Já a defesa cibernética se relaciona com a defesa da soberania nacional contra ameaças cibernéticas.

O texto já havia recebido parecer favorável, em março, na Comissão de Constituição e Justiça (CCJ), quando contou com o apoio do relator da matéria, senador Hamilton Mourão (Republicanos-RS).

Para ser aprovada, uma PEC precisa passar por cinco sessões de discussão em primeiro turno e outras três em segundo turno. A exigência constitucional é de pelo menos três quintos dos votos no Senado e na Câmara dos Deputados — o que equivale aos votos de no mínimo 49 senadores e 308 deputados.

• Com informações da Agência Senado

                                                                         CONVERGENCIA DIGITAL

Roubo de dados custa até 34 empregos nas PMEs

Estudo do INCC mostra que impacto em PMEs chega a 34 demissões por incidente

Um estudo apresentado nesta quarta, 5/12, pelo Instituto Nacional de Combate ao Cibercrime, aponta para grandes prejuízos sofridos a cada ano pelo Brasil por conta de violações de dados. Segundo o INCC, os incidentes cibernéticos derrubam renda, provocam demissões e resultam em perdas de 18% ao ano no Produto Interno Bruto.

“Este cenário gera uma perda potencial de até 43% em renda salarial e 2,3% de empregos no Brasil”, diz o estudo “O Impacto Econômico das Violações de Dados na Economia Nacional com foco nas PMEs”.

Para pequenas e médias empresas, cada violação de dado pode causar a eliminação de até 34 empregos, o que representa anualmente uma perda de até 2% dos empregos do país, e de US$ 2,01 milhões em massa salarial. Segundo o INCC, isso se deve a uma violação contra PMEs custar, em média, US$ 2,57 milhões, correspondendo a US$ 272 por registro violado. 

Não por acaso, 60% dos golpes cibernéticos no Brasil são direcionados a empresas de pequeno porte, que não contam com estruturas tão robustas para enfrentar ameaças desse tipo. Essa realidade é ainda mais grave quando se considera que 60% das empresas afetadas encerram atividades nos seis meses seguintes ao ataque. Isso traz consequências não apenas para as empresas vitimizadas, mas para a própria economia como um todo.

“É imprescindível que a segurança cibernética seja prioridade de todos os executivos. Estamos em uma corrida em que os crimes cibernéticos estão corroendo ganhos expressivos econômicos e de confiança nos meios digitais que podem se tornar irreversíveis e incontroláveis em um curto espaço de tempo”, diz o presidente do INCC, Fábio Diniz, que  apresentou o estudo na Amcham Brasil.  

O Instituto aponta, ainda, que os maiores esforços têm sido em proteção contra vazamentos de dados, diretamente ligado a quase metade das empresas brasileiras terem relatado incidentes cibernéticos graves no último ano. Ransomware e malware disfarçados de atualizações de software figuram no topo da lista de ameaças.

A pesquisa elaborada pelo INCC avaliou os ganhos potenciais que o aumento dos investimentos em segurança cibernética pode produzir sobre a economia brasileira. A cada 10% de aumento nos investimentos atuais em segurança cibernética pode-se gerar até US$ 1,244 bilhão em termos de reflexos positivos no PIB, gerando 14.007 empregos e US$ 1,051 bilhão em renda (massa salarial) para os trabalhadores.

O estudo do INCC se concentrou nos crimes cibernéticos ligados a violações de dados que afetam as empresas – como, por exemplo, violações em cadastros de clientes e de fornecedores. O trabalho se propôs a três objetivos: (i) avaliar como a segurança cibernética impacta os negócios das empresas; (ii) calcular o custo médio de um golpe cibernético para a economia brasileira, com uma análise específica voltada às PMEs; e (iii) avaliar o retorno médio de cada real investido em segurança cibernética, considerando aspectos como emprego, renda e PIB.

                                                        CONVERGENCIA DIGITAL