O que é o NIST CSF (Cybersecurity Framework)?
O NIST CSF (Cybersecurity Framework) é o framework de gestão de risco cibernético mantido pelo instituto de padrões dos Estados Unidos (NIST), gratuito e voluntário, usado por empresas de qualquer porte e setor para organizar sua postura de segurança em seis funções: Governar, Identificar, Proteger, Detectar, Responder e Recuperar. A versão 2.0, publicada em fevereiro de 2024, é a atual.
Como o NIST CSF organiza a cibersegurança
O framework não é uma lista de ferramentas para comprar, é uma linguagem comum para mapear onde a empresa está e para onde precisa ir, ao redor de seis funções que se sustentam.
Governar dá a direção
Estratégia de risco cibernético, papéis, política e supervisão. É a função mais nova (adicionada na versão 2.0) e a que sustenta todas as outras.
Identificar mapeia o que existe
Ativos, dados, fornecedores e os riscos que ameaçam cada um. Não dá para proteger o que a empresa não sabe que tem.
Proteger e Detectar reduzem e enxergam o risco
Controles de acesso, backup e treinamento (Proteger) trabalham junto com monitoramento contínuo (Detectar) para reduzir a chance de um incidente e encurtar o tempo até percebê-lo.
Responder e Recuperar fecham o ciclo
Um plano de resposta testado (Responder) e a capacidade comprovada de voltar a operar (Recuperar) transformam um incidente de crise permanente em interrupção administrada.
Fonte: NIST Cybersecurity Framework 2.0 (National Institute of Standards and Technology, fev. 2024).
As 6 funções do NIST CSF 2.0
- Governar (Govern) Estratégia, papéis e política de risco cibernético. Função nova da versão 2.0.
- Identificar (Identify) Inventário de ativos, dados e risco de fornecedores.
- Proteger (Protect) Controle de acesso, backup, treinamento, proteção técnica.
- Detectar (Detect) Monitoramento contínuo para achar anomalias e incidentes.
- Responder (Respond) Plano de ação quando um incidente acontece.
- Recuperar (Recover) Capacidade de restaurar a operação depois do incidente.
Por que o CSF virou referência mesmo sendo voluntário
O NIST CSF não obriga ninguém por lei, mas virou o vocabulário comum entre auditor, seguradora e diretoria justamente porque é gratuito, público e aplicável a qualquer setor. A versão 2.0 ampliou esse alcance: antes falava principalmente com infraestrutura crítica, agora se dirige a organizações de qualquer porte, incluindo pequenas e médias empresas. O framework inclui 22 categorias e 106 subcategorias distribuídas nas 6 funções, e para descrever o rigor dessa gestão de risco, o NIST define 4 Tiers de implementação, de Parcial (reativo, ad hoc) a Adaptativo (proativo, melhoria contínua). Sem esse retrato de maturidade, “estamos seguros” vira opinião, não medida.
Como uma empresa começa a usar o NIST CSF
O framework é flexível de propósito, mas o ponto de partida costuma ser o mesmo:
- Faça o perfil atualAvalie, função por função, onde a empresa está hoje. Não é para chegar perfeito na primeira rodada, é para ter uma linha de base honesta.
- Defina o perfil-alvoDecida, com base no risco real do negócio (não no medo), até onde a empresa precisa evoluir em cada função.
- Priorize a lacuna, não tudo de uma vezA distância entre o perfil atual e o alvo vira o roteiro de investimento, ordenado pelo que reduz mais risco primeiro.
- Revise a cada cicloO CSF não é um projeto de uma vez, é um ciclo. A ameaça muda, o perfil-alvo também precisa mudar.
Na prática
A pergunta que a função Governar resolve: se acontecer um incidente hoje, alguém no topo da empresa sabe, de cor, quem decide o quê, ou isso vai se descobrir no meio da crise?
Como a Zamak aplica o NIST CSF
A Zamak Technologies organiza a entrega de cibersegurança e conformidade ao redor das 6 funções do NIST CSF, da governança à recuperação, dentro da Governança e Conformidade do Método Zamak. O Compliance Audit Express usa o mesmo tipo de leitura por domínio para mostrar, em minutos, onde a empresa está mais exposta.