Estrutura de Cibersegurança do NIST: um guia prático sobre o CSF 2.0 para equipes de TI e MSPs

O NIST CSF 2.0 é a estrutura de segurança cibernética que cada vez mais clientes estão utilizando para estruturar seus programas de segurança e avaliar a postura de segurança das equipes de TI e dos MSPs com os quais trabalham. Ele substituiu o CSF 1.1 em fevereiro de 2024, representando a atualização mais significativa desde o lançamento original da estrutura, em 2014; e, para qualquer organização que tenha desenvolvido seu programa de segurança com base no CSF 1.1, essas mudanças têm um impacto operacional significativo.

A principal novidade é a nova sexta função, Governar. Ela se soma às cinco originais (Identificar, Proteger, Detectar, Responder, Recuperar) e aborda o que o CSF 1.1 deixou pouco especificado: quem é responsável pelas decisões de segurança cibernética, como a gestão de riscos é integrada ao negócio como um todo e como os riscos da cadeia de suprimentos são gerenciados. O CSF 2.0 também abandona o enquadramento original de “infraestrutura crítica” e agora é explicitamente projetado para organizações de qualquer tamanho e setor, o que representa uma diferença significativa para equipes de TI menores e clientes de MSP que antes precisavam adaptar a linguagem de infraestrutura crítica ao seu próprio contexto.

Este guia aborda o que o CSF 2.0 exige na prática. As seis funções e o que cada uma delas realmente significa, como funcionam os níveis de implementação e os perfis, como a estrutura se alinha às outras normas com as quais você já pode estar trabalhando e como os MSPs podem usar o CSF 2.0 como uma forma estruturada de prestar e comprovar serviços de consultoria em segurança. Para conhecer a família mais ampla de orientações do NIST, incluindo a série SP 800 e como ela se relaciona com o CSF, consulte a publicação complementar sobre o que é conformidade com o NIST e como começar.

O que é a Estrutura de Cibersegurança do NIST?

O NIST Cybersecurity Framework é uma estrutura voluntária desenvolvida pelo Instituto Nacional de Padrões e Tecnologia (NIST) para ajudar as organizações a gerenciar os riscos de segurança cibernética. Ele organiza as atividades de segurança cibernética em funções, categorias e subcategorias, oferecendo às organizações uma maneira estruturada de compreender, avaliar e melhorar sua postura de segurança, sem prescrever exatamente como chegar lá.

A estrutura é intencionalmente independente de tecnologia e focada em resultados. Ela descreve o que uma organização deve ser capaz de fazer, e não com qual ferramenta fazê-lo. É essa flexibilidade que faz com que o CSF seja frequentemente combinado com normas mais prescritivas. A norma NIST SP 800-53 fornece um catálogo detalhado de controles ao qual as subcategorias do CSF se mapeiam. O CIS Controls v8.1 oferece um guia de implementação priorizado. A ISO 27001 fornece uma estrutura de sistema de gestão auditável. O CSF oferece a estrutura estratégica, e os demais preenchem os detalhes de implementação.

Para os contratados federais dos EUA, a conformidade com o NIST está passando de voluntária para obrigatória. A FISMA exige que as agências federais sigam diretamente as orientações do NIST. O Nível 2 do CMMC corresponde à norma NIST SP 800-171. As organizações que buscam contratos federais, ou que fornecem serviços a empresas detentoras desses contratos, se beneficiam da conformidade com o CSF como base estratégica na qual se enquadram os demais requisitos regulatórios.

O que mudou no CSF 2.0

Quatro atualizações do CSF 2.0 são as mais importantes para os profissionais.

A primeira é a nova função Govern. O CSF 2.0 adiciona uma sexta função voltada para o contexto organizacional, a estratégia de gestão de riscos, os riscos da cadeia de suprimentos, as funções e responsabilidades, as políticas e a supervisão. Essa função reconhece que a governança da segurança cibernética — quem toma as decisões e quem é responsável — é tão fundamental quanto os próprios controles técnicos. As organizações que implementaram programas do CSF 1.1 sem uma camada de governança documentada perceberão que essa é a lacuna mais significativa a ser preenchida.

O segundo ponto é a ampliação explícita do escopo. O CSF 1.1 foi concebido para infraestruturas críticas. O CSF 2.0 destina-se explicitamente a todas as organizações: pequenas empresas, grandes corporações, órgãos governamentais, escolas, hospitais e MSPs. A documentação do quadro de referência agora utiliza exemplos que refletem esse público mais amplo, em vez da linguagem específica dos setores de energia, transporte e água presente na versão original.

O terceiro ponto é o conteúdo ampliado sobre gestão de riscos da cadeia de suprimentos. Os ataques à cadeia de suprimentos tornaram-se um vetor de ameaça predominante desde a publicação do CSF 1.1 em 2018, e o CSF 2.0 amplia substancialmente as orientações sobre como avaliar, gerenciar e estabelecer contratos em relação aos riscos de segurança cibernética de terceiros. Para os MSPs, que fazem parte da própria cadeia de suprimentos de seus clientes, esta seção é leitura obrigatória.

O quarto ponto é a estrutura atualizada de categorias e subcategorias. O número de subcategorias mudou, algumas categorias foram reorganizadas e as orientações refletem áreas de atuação atuais, como segurança de tecnologia operacional e segurança em nuvem, de forma mais explícita do que o CSF 1.1. As organizações que estiverem atualizando um programa baseado no CSF 1.1 devem mapear seus controles existentes para a estrutura do CSF 2.0, em vez de presumir uma transição direta de um para outro.

As seis funções

As seis funções do CSF 2.0 organizam as atividades de segurança cibernética no nível mais alto. Cada uma delas se divide em categorias e, posteriormente, em subcategorias que descrevem resultados específicos.

Govern (GV). A nova função do CSF 2.0. Estabelecer e monitorar a estratégia, as expectativas e a política de gestão de riscos de segurança cibernética da organização. Abrange o contexto organizacional, a estratégia de gestão de riscos, as funções e responsabilidades em matéria de segurança cibernética, a política, a supervisão e a gestão de riscos da cadeia de suprimentos.

Identificar (ID). Compreender os riscos de segurança cibernética da organização para sistemas, pessoas, ativos, dados e capacidades. A gestão de ativos, a avaliação de riscos e o planejamento de melhorias fazem parte desta área.

Proteger (PR). Implementar as medidas de segurança que garantem o funcionamento contínuo dos serviços essenciais. Gestão de identidades e controle de acesso, conscientização e treinamento, segurança de dados, segurança de plataformas e resiliência da infraestrutura tecnológica.

Detectar (DE). Identificar a ocorrência de um incidente de segurança cibernética no momento em que ele acontece. Monitoramento contínuo e análise de incidentes.

Resposta (RS). Tomar medidas quando for detectado um incidente de segurança cibernética. Gestão de incidentes, análise de incidentes, relatórios de resposta, mitigação e melhorias pós-incidente.

Recuperação (RC). Restabelecimento de recursos ou serviços afetados por um incidente de segurança cibernética. Execução do plano de recuperação de incidentes e comunicação sobre a recuperação de incidentes.

O desequilíbrio mais comum nos programas CSF na prática é o investimento excessivo na função “Proteger” em relação às funções “Detectar” e “Responder”. As organizações adquirem muitos controles preventivos e, comparativamente, pouca capacidade de detecção e resposta, e depois se surpreendem quando o inevitável incidente demora mais do que deveria para ser detectado e contido. O CSF 2.0 não determina uma divisão de orçamento, mas um programa confiável apresenta um nível de maturidade aproximadamente proporcional nas seis funções, e não uma pontuação elevada em “Proteger” ao lado de uma capacidade limitada em “Detectar” e “Responder”.

Níveis e perfis

O CSF 2.0 mantém o modelo de camadas de implementação e perfis que existia no CSF 1.1, com orientações mais detalhadas sobre como utilizar ambos.

Os níveis de implementação descrevem o rigor e a sofisticação das práticas de gestão de riscos de segurança cibernética de uma organização em quatro níveis: Nível 1 (Parcial), Nível 2 (Baseado no Risco), Nível 3 (Repetível) e Nível 4 (Adaptativo). Os níveis não são pontuações de conformidade. Eles caracterizam como a organização gerencia os riscos e o grau de maturidade de suas práticas, e não se ela simplesmente cumpriu uma lista de requisitos. A maioria das pequenas e médias empresas (PMEs) terá como meta razoável o Nível 2 ou o Nível 3 para a maior parte de seu programa, em vez de almejar o Nível 4 em todos os aspectos.

Os perfis são a forma como uma organização adapta o CSF ao seu contexto específico. Um Perfil Atual descreve os resultados em cibersegurança que a organização está alcançando atualmente. Um Perfil Alvo descreve os resultados que a organização deseja alcançar, levando em conta sua propensão ao risco, o ambiente regulatório e os objetivos de negócios. A diferença entre os dois constitui o plano de melhoria. Para um MSP que presta serviços de consultoria em segurança, a elaboração de Perfis Atuais e Alvos para cada cliente é uma das formas mais claras de comprovar o trabalho realizado e estruturar uma conversa sobre um roteiro plurianual.

Considere como isso se aplica na prática. Um cliente de serviços profissionais com 120 usuários está sujeito ao CSF 2.0 porque seu maior cliente (uma empresa contratada pelo governo federal) exige que seus fornecedores comprovem conformidade. O MSP realiza uma avaliação do Perfil Atual e constata que o cliente se encontra aproximadamente no Nível 2 nas categorias Identificar e Proteger, no Nível 1 nas categorias Detectar e Responder, sem nenhuma função de Governança documentada. O Perfil Alvo, definido com base nas obrigações contratuais do cliente, é Nível 3 em Identificar, Proteger, Detectar, Responder e Recuperar, e Nível 2 em Governar. A lacuna se transforma em um projeto estruturado de 18 meses: trabalho de base em Governança no primeiro trimestre, ferramentas e manuais de Detecção/Resposta nos trimestres dois e três, e melhoria contínua ao longo do restante do programa. O CSF transforma o que seria um projeto vago de “melhorar nossa segurança” em um escopo contratado com marcos de progresso mensuráveis.

Como o CSF 2.0 se integra a outras estruturas

O CSF raramente é utilizado isoladamente. A maioria das organizações que o utilizam também está se empenhando em cumprir, ou já cumpre, outras exigências de outras estruturas. Compreender essa sobreposição evita a duplicação de trabalho.

A norma NIST SP 800-53 é o catálogo detalhado de controles ao qual as subcategorias do CSF se referem. As organizações que utilizam o CSF para o enquadramento estratégico e a norma SP 800-53 para os detalhes de implementação obtêm visões complementares do mesmo programa de segurança em diferentes níveis de especificidade.

A norma NIST SP 800-171 é o subconjunto de controles da SP 800-53 que se aplicam às Informações Controladas Não Classificadas mantidas em sistemas não federais. O Nível 2 do CMMC baseia-se na SP 800-171; portanto, uma organização que esteja em conformidade com o CSF e a SP 800-171 já está realizando a maior parte do trabalho necessário para a certificação CMMC.

O CIS Controls v8.1 apresenta uma ampla correspondência com as funções e categorias do CSF. Uma organização que implemente o Grupo de Implementação 2 do CIS Controls encontrará um forte alinhamento com o CSF com relativamente pouco esforço adicional.

A ISO 27001 compartilha a abordagem baseada em riscos e focada em resultados do CSF. Muitas organizações utilizam ambas, empregando o CSF para o enquadramento estratégico e a ISO 27001 para o sistema de gestão auditável. A certificação não significa automaticamente alinhamento com o CSF, mas os controles subjacentes são altamente compatíveis.

Implementação do NIST CSF 2.0 para MSPs e equipes de TI

O caminho prático para a implementação do CSF 2.0 divide-se em cinco etapas.

Comece pela função Govern. É aqui que os programas CSF 1.1 geralmente precisam de melhorias, e é aqui que as expectativas do CSF 2.0 são mais explícitas. Documente quem é responsável pela segurança cibernética, qual é a propensão ao risco da organização, como as decisões de segurança cibernética são encaminhadas para instâncias superiores e como o risco da cadeia de suprimentos é gerenciado. A função Govern é a base sobre a qual assentam as funções técnicas. Os programas que a ignoram tendem a estagnar no Nível 2.

Realize uma avaliação do Perfil Atual. Analise as categorias e subcategorias e documente quais resultados de segurança cibernética estão realmente sendo alcançados atualmente. Essa é a atividade de maior valor imediato que qualquer organização pode realizar, e a própria avaliação frequentemente revela lacunas de governança e pontos cegos na detecção que ninguém havia identificado anteriormente. Para os MSPs, o Perfil Atual é o documento que serve de base para todas as conversas subsequentes.

Defina um Perfil-Alvo viável. O Perfil-Alvo deve refletir o ambiente regulatório da organização, suas obrigações contratuais e sua propensão ao risco, e não um máximo ideal. Um Perfil-Alvo que vise o Nível 4 em todas as seis funções sem o orçamento necessário para sustentá-lo resulta em um relatório de lacunas permanente, em vez de um roteiro exequível.

Priorize as lacunas de maior risco. Para a maioria das organizações, a maior diferença está nas áreas de Detecção, Resposta e Governança, e não na de Proteção. A capacidade de monitoramento contínuo, os manuais documentados de resposta a incidentes e a prestação de contas formal em matéria de governança proporcionam uma redução desproporcional do risco por unidade de esforço, em comparação com controles preventivos adicionais em uma função de Proteção já madura.

Utilize as ferramentas da plataforma para implementar as subcategorias técnicas. A Kaseya 365 se alinha diretamente à implementação do CSF na maioria das subcategorias. O Kaseya VSA 10 e o Datto RMM abrangem a gestão de ativos e a gestão de patches (Identificar, Proteger). O Datto EDR abrange a detecção e resposta em terminais (Detectar, Responder). O Datto BCDR abrange a recuperação (Recuperar). BullPhish ID o treinamento de conscientização (Proteger). Compliance Manager GRC governança, rastreamento de perfis e documentação de evidências (Governar). Compliance Manager GRC inclui um fluxo de trabalho de avaliação do NIST CSF 2.0 com acompanhamento do Perfil Atual e do Perfil Alvo e extrai evidências técnicas dos outros componentes da plataforma automaticamente, o que é a diferença entre executar um programa CSF em uma planilha e executá-lo como um serviço operacional.

As organizações que tiram maior proveito do CSF 2.0 não são aquelas com as pontuações mais altas. São aquelas que tratam a estrutura como uma forma organizada de abordar assuntos delicados. Sobre quem é responsável pelas decisões de segurança cibernética, sobre onde o programa é realmente fraco, em vez de onde ele parece bom, sobre quais controles merecem seu lugar e quais foram adquiridos sem uma função clara. O CSF 2.0 não diz o que você deve fazer. Ele diz o que você deve ser capaz de responder. As organizações que conseguem responder com clareza são aquelas cujos clientes, auditores e seguradoras param de fazer perguntas complementares.