Inicial > Não categorizado > Vamos falar um pouco sobre o NIST–volume 1 Identify

Vamos falar um pouco sobre o NIST–volume 1 Identify

Saudações,

Depois da introdução feita a respeito do framwork NIST, vamos agora entrar na primeira função – Identify (Identificar).

Pra quem ainda não leu a introdução, segue abaixo link:

Vamos falar um pouco sobre o NIST – Introdução

O intuito do post de hoje é discorrer um pouco sobre a função “Identify” e suas categorias para que, com o entendimento necessário, possamos pensar em estratégias de gestão para Segurança e a correta implementação do framework.

Asset Management – ID.AM

São poucas as empresas que hj realizam uma gestão de ativos com qualidade e informações completas. As vezes a gente não se dá conta da importância deste processo, mas, nos momentos em que precisamos ter informações claras e confiáveis para tomada de decisões, muitas vezes vejo lamentos sobre a falta de um preenchimento correto de cadastros.

Além disso é importante pensar na relação existente entre ativos. Se uma informação confidencial ou crítica da organização está num determinado banco de dados, então você precisa saber todos os outros ativos relacionados a esta informação. Obviamente que, a indisponibilidade de um ponto ativo central irá determinar a impossibilidade de acesso a tudo que você possui, mas, pensando na relação entre ativos, se uma informação está em um banco de dados, ela também pertence a um servidor, que está em determinado domínio, Unidade Organizacional, subnet, VLAN, switches e roteadores. Ela está acessível (ou não) a requisições externas? Qual a classificação desta informação e nível de criticidade e importância ao negócio e/ou imagem da empresa junto ao mercado e ao cliente final?

Em termos de aplicações (também um ativo importante), o que cada uma delas faz? Que tipo de dado armazena e como armazena? Se trata de uma aplicação ERP com dados críticos da empresa? Isso tem que estar claro no cadastro do ativo.

Isso se aplica também a pessoal (os funcionários, funções e seus perfis de acesso, programas de conscientização em segurança da informação, orgcharts, etc), dispositivos (celulares, tablets, computadores, notebooks, impressoras e demais equipamentos corporativos), etc.

Em termos de comunicação, informação também é um ativo valioso, pois, vai determinar o andamento de todos os itens que falamos até agora, ou seja, o andamento de processos, tarefas e o fluxo de trabalho do negócio como um todo.

O NIST provê nesta categoria, outras 6 sub-categorias que orientam na correta implementação da sua gestão de ativos, com as referências de documentação que englobam os próprio documentos do NIST e até mesmo outros frameworks. Vale lembrar que não se trata de nenhum cheklist a seguir, apenas recomendações com referências documentadas:

– ID.AM-1 – Physical devices and systems within the organization are inventoried:

CIS CSC 1, COBIT 5 BAI09.01, BAI09.02, ISA 62443-2-1:2009 4.2.3.4, ISA 62443-3-3:2013 SR 7.8, ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, NIST SP 800-53 Rev. 4 CM-8, PM-5

– ID.AM-2 – Software platforms and applications within the organization are inventoried:

CIS CSC2, COBIT 5 BAI09.01, BAI09.02, BAI09.05, ISA 62443-2-1:2009 4.2.3.4, ISA 62443-3-3:2013 SR 7.8, ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1, NIST SP 800-53 Rev. 4 CM-8, PM-5

– ID.AM-3 – Organizational Communication anda data flows are mapped:

CIS CSC 12, COBIT 5 DSS05.02, ISA 62443-2-1:2009 4.2.3.4, ISO/IEC 27001:2013 A.13.2.1  A.13.2.2, NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8

– ID.AM-4 – External Information systems are catalogued:

CIS CSC 12, COBIT 5 APO02.02 APO10.04 DSS01.02, ISO/IEC 27001:2013 Rev 4 AC-20 SA-9

– ID.AM-5 – Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, critically and business value:

CIS CSC 13, 14, COBIT 5 APO03.03, APO03.04, APO12.01, BAI04.02, BAI09.02, ISA 62443-2-1:2009 4.2.3.6, ISO/IEC 27001:2013 A.8.2.1, NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6

Business Environment – ID.BE

Esta parte a meu ver deveria ser a primeira de todas, afinal, pra aplicar conceitos de segurança da informação, sejam eles quais forem, você precisa saber o que a empresa faz, a missão e objetivos, quem são as partes interessadas, etc.

Além disso entendemos como a empresa funciona sob a pressão de algum evento que venha a causar um impacto de grandes proporções e como atuar nessa situação.

Aqui podemos priorizar a busca pelo apoio da alta gestão no processo de gestão de segurança da informação, parte fundamental no início de um trabalho.

Com estas informações, a estratégia de segurança da informação começa a tomar corpo com a definição das equipes e atividades a serem desempenhadas.

É nesta fase que você vai entender todas as atividades executadas pela empresa e seus processos, além definir quais áreas processos entrarão no sistema de gestão de segurança, priorizando as atividades mais críticas do negócio.

Nesta categoria você encontra mais 5 sub-categorias com toda documentação de apoio necessária:

– ID.BE-1 – The organization´s role in the supply chain is identified and communicated:

COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03, APO10.04, APO10.05, ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 CP-2, SA-12

– ID.BE-2 – The organization´s place in critical infrastructure and its industry sector is identified and communicated:

COBIT 5 APO02.06, APO03.01, ISO/IEC 27001:2013 Clause 4.1, NIST SP 800-53 Rev. 4 PM-8

– ID.BE-3 – Priorities for organizational mission, objectives, and activities are established and communicated:

COBIT 5 APO02.01, APO02.06, APO03.01, ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6, NIST SP 800-53 Rev. 4 PM-11, SA-14

– ID.BE-4 – Dependencies and critical functions for delivery of critical servers are established:

COBIT 5 APO10.01, BAI04.02, BAI09.02, ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3, NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14

– ID.BE-5 – Resilience requirements to support delivery of critical services are established for all operating states (e. g. under duress/attack, during recovery, normal operations:

COBIT 5 BAI03.02, DSS04.02, ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, A.17.2.1, NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14

Governance – ID. GV

A categoria governance orienta quanto a toda parte de documentação e definição de procedimentos. Todos os processos de regulação, jurídico, riscos e outros requerimentos operacionais, além de normas ligadas ao core business da empresa que devem ser de conhecimento da área de segurança da informação.

É nesta fase que você define as políticas, diretrizes e processos que irão guiar a empresa nas melhores práticas de segurança da informação. Ex: Política de segurança da informação, Política de Prevenção a vazamento de dados, Política de Retenção de Dados, etc.

Mas uma coisa é fundamental para o sucesso desta categoria na sua empresa… não é só colocar no papel. Tem que fazer funcionar.

Se você tem documentado que é proibido o uso de pen drives ou qualquer outro dispositivo externo via USB em seus computadores, você tem que fazer isso acontecer na prática aplicando os devidos controles técnicos.

A documentação tem que ser expressa, clara e ter em si a aprovação dos responsáveis das áreas as quais são responsáveis pelo processo.

Neste ponto é importante parcerias com seu RH e seu setor de comunicação para que o processo flua da melhor forma.

A govenança tb foca na monitoração dos processos e sua correta utilização, além de melhoria contínua e os riscos do negócio, ou seja, avaliações constantes a partir de uma análise de eventos ocorridos e auditorias.

Para esta categoria temos a documentação de apoio a seguir:

ID.GV-1 – Organizational cybersecurity policy is established and communicated:

CIS CSC 19, COBIT 5 APO01.03, APO13.01, EDM01.01, EDM01.02, ISA 62443-2-1:2009 4.3.2.6, ISO/IEC 27001:2013 A.5.1.1, NIST SP 800-53 Rev. 4 -1 controls from all security control families

ID.GV-2 – Cybersecurity roles and responsabilities are coodinated and aligned with internal roles and external partners:

CIS CSC 19, COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04, ISA 62443-2-1:2009 4.3.2.3.3, ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1, NIST SP 800-53 Rev. 4 PS-7, PM-1, PM-2

ID.GV-3 – Legal and regulatory requirements regarding cybersecurity, including privacy and civil liberties obligations, are understood and managed:

CIS CSC 19, COBIT 5 BAI02.01, MEA03.01, MEA03.04, ISA 62443-2-1:2009 4.4.3.7, ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5, NIST SP 800-53 Rev. 4 -1 controls from all security control families

ID.GV-4 – Governance and risk management processes address cybersecurity risks

COBIT 5 EDM03.02, APO12.02, APO12.05, DSS04.02, ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3, ISO/IEC 27001:2013 Clause 6, NIST SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM-9, PM-10, PM-11

Risk Assessment – ID.RA

A parte de riscos é um tema muito mais complexo do que as definições que podemos colocar neste post. É tema para um longo artigo, video ou palestra. Envolve todas as áreas da companhia e precisa ser seriamente levada a sério.

Em termos de riscos, é fundamental ter todos os processos mapeados em cada departamento e dentro destes processos você precisa medir o impacto quantitativo e qualitativo no negócio e acima disso, na imagem da corpração junto ao mercado e ao cliente final.

Basicamente, o risco é medido a partir de uma vulnerabilidade que está sujeita a uma ameaça, conforme abaixo:

image

OBS: O desenho acima é baseado no exemplo dado pelo Daniel Donda no treinamento que ele ministra sobre LGPD no Udemy. Recomendo que o façam!

A partir desse pensamento e com as informações de tudo que envolve o fluxo operacional, funções, ativos, pessoas e a imagem da organização, teremos que definir o nível do risco de cada processo do negócio, seja em que departamento for e os impactos de cada um deles ao negócio.

ID.RA-1: Asset vulnerabilities are identified and documented:

CIS CSC 4, COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, DSS05.01, DSS05.02, ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 A.12.6.1, A.18.2.3, NIST SP 800-53 Rev. 4 CA-2, CA-7, CA-8, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5

ID.RA-2: Cyber threat intelligence is received from information sharing forums and sources:

CIS CSC 4, COBIT 5 BAI08.01, ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 A.6.1.4, NIST SP 800-53 Rev. 4 SI-5, PM-15, PM-16

ID.RA-3: Threats, both internal and external, are identified and documented:

CIS CSC 4, COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 Clause 6.1.2, NIST SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16

ID.RA-4: Potential business impacts and likelihoods are identified:

CIS CSC 4, COBIT 5 DSS04.02, ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 A.16.1.6, Clause 6.1.2, NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9, PM-11

ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk:

CIS CSC 4, COBIT 5 APO12.02, ISO/IEC 27001:2013 A.12.6.1, NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16

ID.RA-6: Risk responses are identified and prioritized:

CIS CSC 4, COBIT 5 APO12.05, APO13.02, ISO/IEC 27001:2013 Clause 6.1.3, NIST SP 800-53 Rev. 4 PM-4, PM-9

Risk Assessment Strategy – ID.RM

A estratégia do risco agora vem baseado no que o assessment levantou lá atrás. Quais as prioridades em determinado processo, qual o apetite de risco da empresa que definirá a tolerância ao risco propriamente dita? Quais riscos serão mitigados com controles específicos? Quais riscos serão assumidos pela direção? Não perguntas a serem respondidas tendo em mãos o resultado da avaliação inicial.

Como referência para sua estratégia de risco, o NIST traz as sub-categorias abaixo:

ID.RM-1 – Risk Management processes are established, managed and agreed to by organizational stakeholders:

CIS CSC 4, COBIT 5 APO12.04, APO12.05, APO13.02, BAI02.03, BAI04.02, ISA 62443-2-1:2009 4.3.4.2, ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, Clause 9.3, NIST SP 800-53 Rev. 4 PM-9

ID.RM-2 – Organizational risk tolerance is determined and clearly expressed:

COBIT 5 APO12.06, ISA 62443-2-1:2009 4.3.2.6.5, ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, NIST SP 800-53 Rev. 4 PM-9

ID.RM.3 – The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis:

COBIT 5 APO12.02, ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, NIST SP 800-53 Rev. 4 SA-14, PM-8, PM-9, PM-11

Supply Chain – ID.SC

Todos os riscos mapeados e a estratégia definida dão suporte para diversas decisões a serem tomadas, sendo a parte de Suply Chain uma delas (e das mais importantes).

Para todo e qualquer fornecedor contratado, a área de segurança da informação deve estar trabalhando em parceria com a área comercial e a área contratante, durante o processo de avaliação da solução a ser implementada e/ou o serviço a ser prestado.

Qual tipo de serviço será prestado? Existe envolvimento do terceiro com dados críticos e/ou pessoais geridos pela empresa contratante? Haverá o ingresso de funcionários/consultores deste fornecedor na contratante? Tendo o fornecedor funcionário que irão atuar na contratante, haverá acesso dos mesmos à infraestrutura da contratante? Caso afirmativo, quais os níveis de acesso que este consultor vai ter? São perguntas que devem ser colocadas no momento da avaliação e devem ser prontamente esclarecidas pelas partes interessadas.

Para casos em que a contratante terá consultores externos é recomendado que este consultor passe pelos processos de conscientização de segurança da informação tal qual um funcionário da contratante, que assine os termos de responsabilidade e confidencialidade dos dados aos quais estará manipulando e que seus acessos, além de limitados ao trabalho que será desempenhado, sejam revistos trimestralmente, ou ao final do contrato. Ou seja, o acesso de um consultor externo expira na data de expiração do contrato, devendo a área contratante solicitar a renovação do acesso mediante data do novo contrato celebrado entre as partes.

O que acabei de descrever é um exemplo básico de acesso a terceiros, mas, poderiamos citar outros exemplos, como o contrato entre a contratante e o fornecedor para troca de informações entre as partes. Dessa forma é necessário toda uma análise de segurança no sistema responsável por essa troca de dados e um assessment prévio da empresa para avaliação de seu nível de maturidade em termos de segurança da informação. Caso esse nível de maturidade seja um risco para a contratante, a área de segurança deverá intervir e mostrar os pontos que significam um risco para a contratante.

Além de todo o exposto, o fornecedor deverá assinar um NDA (Non Disclosure Agreement), garantindo a confidencialidade dos dados da contratante que serão manipulados por ele.

Podemos citar muitos outros exemplos, mas, vou ficar nesses e colocar abaixo a sub categorias e as referências de documentação para referência e estudo:

ID.SC-1: Cyber supply chain risk management processes are identified, established, assessed, managed, and agreed to by organizational stakeholders:

CIS CSC 4, COBIT 5 APO10.01, APO10.04, APO12.04, APO12.05, APO13.02, BAI01.03, BAI02.03, BAI04.02, ISA 62443-2-1:2009 4.3.4.2, ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 SA-9, SA-12, PM-9

ID.SC-2: Suppliers and third party partners of information systems, components, and services are identified, prioritized, and assessed using a cyber supply chain risk assessment process:

COBIT 5 APO10.01, APO10.02, APO10.04, APO10.05, APO12.01, APO12.02, APO12.03, APO12.04, APO12.05, APO12.06, APO13.02, BAI02.03, ISA 62443-2-1:2009 4.2.3.1, 4.2.3.2, 4.2.3.3, 4.2.3.4, 4.2.3.6, 4.2.3.8, 4.2.3.9, 4.2.3.10, 4.2.3.12, 4.2.3.13, 4.2.3.14, ISO/IEC 27001:2013 A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-12, SA-14, SA-15, PM-9

ID.SC-3: Contracts with suppliers and third-party partners are used to implement appropriate measures designed to meet the objectives of an organization’s cybersecurity program and Cyber Supply Chain Risk Management Plan:

COBIT 5 APO10.01, APO10.02, APO10.03, APO10.04, APO10.05, ISA 62443-2-1:2009 4.3.2.6.4, 4.3.2.6.7, ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, NIST SP 800-53 Rev. 4 SA-9, SA-11, SA-12, PM-9

ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations:

COBIT 5 APO10.01, APO10.03, APO10.04, APO10.05, MEA01.01, MEA01.02, MEA01.03, MEA01.04, MEA01.05, ISA 62443-2-1:2009 4.3.2.6.7
ISA 62443-3-3:2013 SR 6.1, ISO/IEC 27001:2013 A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 AU-2, AU-6, AU-12, AU-16, PS-7, SA-9, SA-12

ID.SC-5: Response and recovery planning and testing are conducted with suppliers and third-party providers:

CIS CSC 19, 20, COBIT 5 DSS04.04, ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11, ISA 62443-3-3:2013 SR 2.8, SR 3.3, SR.6.1, SR 7.3, SR 7.4, ISO/IEC 27001:2013 A.17.1.3, NIST SP 800-53 Rev. 4 CP-2, CP-4, IR-3, IR-4, IR-6, IR-8, IR-9

Para não tomar tempo colocando hyperlink para cada uma das referências, peço que, caso se interesse em pesquisar cada uma mais a fundo, busque o documento pelo ID que vai abaixo de cada sub-categoria.

Bastante coisa né? Mas vale a pena separar um tempo para leitura deste post, suas referências e também a reflexão dos pontos que tratamos aqui em seu ambiente.

Espero que possa ser util e até o próximo volume onde trataremos da categoria “Protect” do NIST.

Abraços

Uilson

Categorias:Não categorizado
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: