Principais estruturas de cibersegurança que você deve conhecer.

À medida que os ciberataques se tornam mais sofisticados e dispendiosos, aumenta a importância de manter controlos de segurança para melhorar a postura de risco da sua organização.

A cibersegurança é uma preocupação crescente para as organizações atuais, com um volume cada vez maior de informações sensíveis armazenadas e transmitidas online. Para combater a crescente ameaça de ataques cibernéticos, as organizações desenvolveram diversas estruturas para ajudar a garantir a segurança de seus sistemas e dados.

O que é uma estrutura de cibersegurança?

Uma estrutura de cibersegurança é um conjunto de diretrizes e melhores práticas que as organizações podem usar para gerenciar e reduzir seus riscos de segurança. Essas estruturas oferecem uma abordagem abrangente para a cibersegurança, que cobre todos os aspectos das operações de uma organização, desde a diretoria até o centro de dados. Elas são projetadas para ajudar as organizações a entender e gerenciar melhor sua postura de cibersegurança, tomar decisões informadas sobre seus investimentos em segurança e se defender contra potenciais ameaças e vulnerabilidades.

Aqui estão algumas das principais estruturas de cibersegurança que você deve conhecer:

Estrutura de cibersegurança do NIST

Desenvolvida pelo Instituto Nacional de Padrões e Tecnologia (NIST), essa estrutura fornece uma abordagem abrangente para o gerenciamento de riscos de segurança cibernética para organizações de todos os portes e tipos. A estrutura se baseia em cinco funções principais:

O Estrutura de cibersegurança do NIST Fornece um roteiro para aprimorar a segurança cibernética e pode ser usado como referência para avaliar o nível de segurança cibernética de uma organização. A estrutura é amplamente utilizada por organizações de todos os portes, incluindo agências governamentais e operadores de infraestrutura crítica.

Estrutura MITRE ATT@CK

MITRE ATT@CK É uma estrutura abrangente e de código aberto para modelagem e análise de ameaças. Desenvolvida pela MITRE Corporation, a estrutura fornece uma maneira padronizada de descrever e analisar ameaças cibernéticas.

A estrutura abrange uma ampla gama de agentes de ameaças, táticas e técnicas. Também inclui informações sobre as ferramentas, a infraestrutura e as motivações por trás de cada ataque. Essas informações podem ser usadas para melhor compreender o cenário de ameaças e aprimorar a capacidade da sua organização de detectar e responder a ataques. Além disso, ela é atualizada regularmente com novas informações sobre ameaças emergentes e melhores práticas, tornando-se um recurso valioso para profissionais de segurança.

MITRE ATT@CK usa um matriz Mapear as várias etapas de um ataque. Isso inclui acesso inicial, execução, persistência, escalonamento de privilégios e muito mais. Essa matriz fornece uma maneira clara e concisa de entender as táticas e técnicas usadas por diferentes agentes de ameaças e pode ajudar as organizações a priorizar seus esforços de segurança.

Aprenda como usar a automação de segurança para automatizar os testes ATT@CK.

Controles Críticos de Segurança do CIS

O Centro para Segurança na Internet (CIS) Controles Críticos de Segurança São um conjunto de 18 práticas recomendadas para cibersegurança, concebidas para ajudar as organizações a priorizar os seus esforços e recursos. Os controles estão organizados em três categorias:

Um dos principais benefícios dos Controles CIS é o foco em medidas práticas e orientadas a resultados, que podem ser implementadas de forma rápida e eficaz. Os controles são atualizados regularmente para acompanhar a evolução do cenário de ameaças. Recomenda-se que as organizações os utilizem como ponto de partida para seus esforços de cibersegurança.

Padrões NERC-CIP

A North American Electric Reliability Corporation Critical Infrastructure Protection (NERC-CIP) é um conjunto de normas de cibersegurança obrigatórias para toda a indústria, destinadas à proteção de infraestruturas críticas no setor elétrico.

NERC-CIP Abrange uma ampla gama de tópicos, incluindo controle de acesso, resposta a incidentes, gerenciamento de configuração e segurança física. Os padrões são organizados em sete controles de segurança diferentes, cada um abordando um aspecto distinto da segurança cibernética. As organizações são obrigadas a implementar esses controles para garantir a proteção de ativos críticos, como centros de controle, subestações e linhas de transmissão.

Veja como a automação pode agilizar a resposta a incidentes do NERC-CIP.

As organizações são obrigadas a realizar avaliações de risco para identificar potenciais ameaças à segurança cibernética e implementar medidas para mitigar esses riscos. As normas também exigem que as organizações avaliem regularmente seu nível de segurança para garantir a proteção contra ameaças emergentes.

Estrutura CISA TSS

A Estrutura de Segurança Cibernética do Setor de Sistemas de Transporte (TSS) da Agência de Segurança Cibernética e de Infraestrutura (CISA) é um conjunto de diretrizes e melhores práticas para proteger os sistemas de transporte nos Estados Unidos. Foi desenvolvida pela CISA, que faz parte do Departamento de Segurança Interna, em parceria com o setor de transportes.

O Estrutura de cibersegurança TSS Foi concebido para ajudar as organizações de sistemas de transporte a compreender e gerir os seus riscos de cibersegurança. A estrutura abrange uma vasta gama de tópicos, incluindo controlo de acessos, resposta a incidentes, gestão de riscos e segurança da cadeia de abastecimento. A estrutura destina-se a ser utilizada em conjunto com outras estruturas e normas de cibersegurança, como o NIST ou a ISO 27001.

A gestão de riscos é um foco central da Estrutura de Segurança Cibernética da TSS. A estrutura fornece orientações sobre como avaliar e gerenciar riscos de segurança cibernética, incluindo como priorizar e implementar controles de segurança. A estrutura também inclui diretrizes para resposta a incidentes e compartilhamento de informações, que são componentes críticos de um programa de segurança cibernética eficaz.

Estrutura de Avaliação Cibernética do NCSC

O Quadro de Avaliação Cibernética (CAF) do Centro Nacional de Segurança Cibernética (NCSC) é um conjunto de diretrizes e melhores práticas para avaliar e aprimorar a postura de segurança cibernética de uma organização. O NCSC faz parte do GCHQ (Quartel-General de Comunicações do Governo) do Reino Unido. É responsável por fornecer consultoria e suporte em segurança cibernética ao governo britânico e à infraestrutura nacional crítica.

O CAF Oferece às organizações uma abordagem estruturada para avaliar sua cibersegurança e identificar áreas de melhoria. Abrange uma ampla gama de tópicos, incluindo controle de acesso, resposta a incidentes, gerenciamento de riscos e segurança da cadeia de suprimentos. A estrutura foi projetada para ser usada em conjunto com outras estruturas e padrões de cibersegurança, como NIST ou ISO 27001.

A estrutura fornece diretrizes para avaliações e atualizações regulares, permitindo que as organizações se mantenham atualizadas com as melhores práticas e ameaças mais recentes em cibersegurança. O CAF também inclui diretrizes para resposta a incidentes e compartilhamento de informações, que são componentes essenciais de um programa de cibersegurança eficaz. O uso do CAF não é uma exigência legal, mas sua adoção é incentivada para organizações no Reino Unido.

Norma ISO 27001

Esta é uma norma internacional para gestão de segurança da informação, desenvolvida pela Organização Internacional de Normalização (ISO). Ela fornece uma abordagem sistemática para o gerenciamento de informações sensíveis, incluindo a implementação de controles de segurança, avaliação de riscos e gestão de incidentes.

ISO 27001 A norma descreve uma abordagem sistemática e baseada em riscos para a gestão da segurança da informação, abrangendo todos os seus aspectos, incluindo pessoas, processos e tecnologia. A norma abrange uma ampla gama de tópicos, como controle de acesso, gestão de incidentes, criptografia, segurança de redes e segurança física.

A norma exige que as organizações identifiquem e avaliem seus riscos de segurança da informação, priorizem seus controles de segurança e implementem medidas para mitigar esses riscos. A norma também exige que as organizações revisem e atualizem regularmente seus sistemas de gestão de segurança da informação para garantir que permaneçam eficazes e atualizados.

Conformidade com SOC 2

O Service Organization Control (SOC) 2 é um conjunto de normas para segurança da informação, privacidade e proteção de dados. Seu foco é garantir que os provedores de serviços possuam controles de segurança adequados para proteger os dados dos clientes. É mantido pelo Instituto Americano de Contadores Públicos Certificados (AICPA).

SOC 2 O SOC 2 foi desenvolvido para organizações de serviços, como provedores de serviços em nuvem e provedores de SaaS, que armazenam ou processam dados de clientes na nuvem. Os padrões SOC 2 se concentram em cinco princípios de serviço de confiança: segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade.

Para cumprir os requisitos do SOC 2, as organizações devem passar por um processo formal de auditoria e certificação. A auditoria avalia os controles de segurança da informação e privacidade da organização, incluindo suas políticas, procedimentos e sistemas de tecnologia. O auditor emite um relatório que detalha os resultados da auditoria e fornece recomendações para melhorias.

Ao familiarizar-se com essas principais estruturas de cibersegurança, você poderá compreender melhor as medidas que sua organização pode tomar para se proteger contra ameaças cibernéticas. É importante manter-se atualizado sobre as melhores práticas e tendências mais recentes na área de cibersegurança.