A Estrutura de Gerenciamento de Riscos (Risk Management Framework- RMF) pode ajudar os órgãos do governo e empresas a integrar os esforços existentes de gerenciamento de risco e conformidade e estruturar uma comunicação consistente, tanto entre equipes quanto com lideranças. O NIST está em constante atualização de seu conjunto de publicações de gerenciamento de risco de privacidade e segurança cibernética para fornecer orientação adicional sobre como integrar a implementação do seu RMF.

Gerenciar o risco organizacional é fundamental para programas eficazes de segurança e privacidade da informação; a abordagem RMF pode ser aplicada a sistemas novos e legados, qualquer tipo de sistema ou tecnologia (por exemplo: IoT, sistemas de controle) e dentro de qualquer tipo de organização, independentemente do tamanho ou setor.

7 etapas da Estrutura de Gerenciamento de Risco – NIST:

1. PREPARE – Atividades essenciais para preparar a organização para gerenciar os riscos de segurança e privacidade. É aqui onde é definida a estratégia de riscos, funções chaves de gerenciamento e responsabilidades, definição básica de controles e qual a tolerância a riscos.

2. CATEGORIZE – Categorizar o sistema e as informações processadas, armazenadas e transmitidas com base em uma análise de impacto.

3. SELECIONE – Seleção do conjunto de controles NIST SP 800-53 para proteger o sistema com base na (s) avaliação (ões) de risco.

4. IMPLEMENTE – Implementação dos controles e documentação de como os controles são implantados.

5. AVALIE – Avaliação para determinar se os controles estão em vigor, operando conforme pretendido e produzindo os resultados desejados.

6. AUTORIZE – O oficial sênior toma uma decisão baseada no risco para autorizar o sistema (para operar).

7. MONITORE – Monitorar continuamente a implementação de controle e os riscos para o sistema.

Cada tarefa no RMF inclui referências a seções específicas no Cybersecurity Framework. Por exemplo:

• Tarefa P-2, Estratégia de Gerenciamento de Risco, alinha-se com a Estrutura Básica de Segurança Cibernética [função de identificação];

• Tarefa P-4, Bases de Controle Organizacionalmente Adaptadas e Perfis de Estrutura de Segurança Cibernética, alinha-se com a construção de Perfil de Estrutura de Segurança Cibernética; e

• Tarefa R-5, Relatório de autorização e a Tarefa M-5, Relatório de segurança e privacidade, oferecem suporte aos requisitos de gerenciamento de riscos e relatórios do OMB em toda a organização, usando as construções do Cybersecurity Framework de funções, categorias e subcategorias.

É sempre bom lembrar que não há “balas de prata” quando se trata de segurança cibernética e proteção de uma organização. Por exemplo, ataques de “Zero Day”, que exploram vulnerabilidades de software anteriormente desconhecidas são especialmente problemáticos. No entanto, usar o RMF do NIST para avaliar e melhorar o gerenciamento dos riscos de segurança cibernética deve colocar as organizações em uma posição muito melhor para identificar, proteger, detectar, responder e se recuperar de um ataque, minimizando os danos e o impacto.

Posts relacionados: COVID 19: A importância do gerenciamento de riscos cibernéticos / Mapeando o PCI DSS para o Framework de cybersegurança do NIST e [Artigo] Segurança Cibernética no Setor Marítimo com foco na IMO – uma nova era a partir de janeiro de 2021

Informações obtidas/adaptadas de https://www.nist.gov/cyberframework/risk-management-framework e https://danieldonda.com/nist-risk-management-framework/