NIST Cybersecurity Framework

O que é o NIST CSF

O NIST Cybersecurity Framework não é uma norma rígida — é um framework de melhores práticas que ajuda organizações a entender, gerenciar e reduzir riscos de segurança. Ao contrário da ISO 27001, não é certificável, mas serve como mapa de maturidade e base para programas de segurança. A versão 2.0 (2024) adicionou a função Govern.

As 6 Funções do CSF 2.0

GOVERN (GV) — NOVO no CSF 2.0
  Estabelecer estratégia, expectativas e política
  Governança de segurança no nível executivo
  Responsabilidades, riscos, cadeia de suprimentos

IDENTIFY (ID)
  Entender o contexto de negócio e ativos
  Gestão de ativos, riscos, cadeia de suprimentos
  Base para tudo: você não pode proteger o que não conhece

PROTECT (PR)
  Implementar salvaguardas
  Controle de acesso, treinamento, segurança de dados
  Processos e tecnologia de proteção

DETECT (DE)
  Identificar ocorrências de segurança
  Monitoramento contínuo, processos de detecção
  Anomalias e eventos

RESPOND (RS)
  Tomar ação após incidente detectado
  Planejamento, comunicação, análise, mitigação

RECOVER (RC)
  Restaurar capacidades e serviços
  Plano de recuperação, melhorias, comunicação

Subcategorias Críticas por Função

GOVERN

GV.OC — Contexto organizacional
  Missão, objetivos e partes interessadas documentados
  Requisitos legais e regulatórios mapeados

GV.RM — Gestão de risco
  Apetite e tolerância a risco definidos pela liderança
  Estratégia de gestão de risco documentada

GV.SC — Risco na cadeia de suprimentos
  Fornecedores críticos identificados e avaliados
  Contratos com requisitos de segurança

IDENTIFY

ID.AM — Gestão de ativos
  AM-1: Inventário completo de hardware
  AM-2: Inventário completo de software
  AM-3: Mapeamento de fluxos de dados
  AM-7: Plataformas e serviços identificados

ID.RA — Avaliação de riscos
  RA-1: Vulnerabilidades identificadas e documentadas
  RA-2: Inteligência de ameaças recebida e analisada
  RA-3: Riscos identificados, priorizados e registrados
  RA-5: Ameaças, vulnerabilidades e probabilidades avaliadas

ID.IM — Melhoria
  Lições aprendidas de incidentes anteriores
  Exercícios e testes de planos de segurança

PROTECT

PR.AA — Autenticação e autorização
  AA-1: Identidades e credenciais gerenciadas
  AA-2: Identidades verificadas antes de acesso
  AA-3: Usuários, serviços e hardware autenticados
  AA-5: Acesso com menor privilégio
  AA-6: Contas privilegiadas gerenciadas separadamente

PR.DS — Segurança de dados
  DS-1: Dados em repouso protegidos (criptografia)
  DS-2: Dados em trânsito protegidos (TLS)
  DS-10: Dados sensíveis eliminados quando não necessários

PR.PS — Segurança de plataforma
  PS-1: Configurações baseline definidas e mantidas
  PS-2: Software não autorizado bloqueado
  PS-6: Acesso remoto seguro gerenciado

PR.IR — Resiliência de infraestrutura
  IR-1: Redes e ambientes protegidos
  IR-2: Disponibilidade de recursos assegurada
  IR-3: Dados comunicados de forma autenticada

DETECT

DE.CM — Monitoramento contínuo
  CM-1: Redes monitoradas para eventos adversos
  CM-2: Ambiente físico monitorado
  CM-3: Atividade de pessoal monitorada
  CM-6: Provedores externos monitorados
  CM-9: Testes de detecção executados

DE.AE — Análise de eventos adversos
  AE-2: Eventos adversos analisados para entender ataque
  AE-3: Informações de múltiplas fontes correlacionadas
  AE-4: Impacto estimado de eventos adversos
  AE-6: Incidentes declarados por pessoal e ferramentas

RESPOND

RS.MA — Gerenciamento de incidentes
  MA-1: Incidentes declarados e reportados internamente
  MA-2: Incidentes triados e analisados
  MA-3: Incidentes categorizados e priorizados
  MA-4: Incidentes escalados se necessário
  MA-5: Critérios para ativar plano de crise

RS.CO — Comunicação de incidentes
  CO-2: Partes internas notificadas
  CO-3: Informações compartilhadas com autoridades
  CO-4: Coordenação com stakeholders externos

RS.AN — Análise do incidente
  AN-3: Análise forense realizada
  AN-6: Ações de resposta documentadas

RS.MI — Mitigação
  MI-1: Incidentes contidos
  MI-2: Incidentes eradicados

RECOVER

RC.RP — Plano de recuperação
  RP-1: Plano de recuperação executado
  RP-3: Tempo de recuperação comunicado a stakeholders
  RP-6: Integridade de backups e restauração testadas

RC.CO — Comunicação de recuperação
  CO-3: Atualizações de recuperação comunicadas internamente
  CO-4: Reputação gerenciada após incidente

Níveis de Implementação (Tiers)

Tier 1 — PARCIAL
  Gestão de risco ad-hoc, não formalizada
  Sem consciência de ameaças externas
  Adequado: organizações muito pequenas

Tier 2 — RISCO INFORMADO
  Práticas de gestão de risco aprovadas mas não corporativas
  Alguma consciência de ameaças
  Adequado: PMEs em fase inicial de segurança

Tier 3 — REPETÍVEL
  Práticas formalmente aprovadas e expressas como política
  Atualizadas baseadas em mudanças de risco
  Adequado: médias e grandes empresas

Tier 4 — ADAPTATIVO
  Práticas continuamente melhoradas com lições aprendidas
  Resposta em tempo real a ameaças
  Adequado: organizações críticas e avançadas

NIST CSF vs ISO 27001

NIST CSF:
  Gratuito e público
  Flexível, não prescritivo
  Não certificável
  Foco em outcomes (resultados)
  Excelente para maturidade e gaps

ISO 27001:
  Pago (licença da norma)
  Prescritivo (93 controles)
  Certificável (auditoria externa)
  Foco em conformidade
  Excelente para credencial comercial

Melhor prática: usar NIST CSF para estruturar
o programa de segurança e ISO 27001 para
formalizar e certificar controles específicos.

Como Usar o CSF na Prática

Passo 1: Current Profile
  Documentar estado atual de cada subcategoria
  Tier 1-4 para cada função

Passo 2: Target Profile
  Definir onde quer chegar (baseado em risco)
  Priorizar com base em impacto no negócio

Passo 3: Gap Analysis
  Current → Target = lista de gaps
  Priorizar por risco e custo

Passo 4: Roadmap
  Plano de implementação por trimestre
  Budget e responsáveis por controle

Passo 5: Revisão periódica
  Anual: reavaliar Current Profile
  Após incidente: ajustar Target Profile