O que é o NIST e por que ele é fundamental para a segurança cibernética?
Organizações de todos os tipos estão cada vez mais sujeitas a roubo e perda de dados, seja o ativo informações do cliente, propriedade intelectual ou arquivos confidenciais da empresa.
O governo federal americano e, portanto, seus contratados privados há muito confiam no NIST (National Institute of Standards and Technology) para desenvolver padrões e orientações para proteção de informações.
Um dos mais importantes deles é o NIST CSF (Framework de Segurança Cibernética), que ajuda a fornecer estrutura e contexto à segurança cibernética. As organizações do setor privado devem ser motivadas a implementar o NIST CSF não apenas para melhorar sua segurança cibernética, mas também para reduzir seu risco potencial de responsabilidade legal.
Embora o NIST esteja ativo há algum tempo, o CSF
Seus benefícios para os esforços de segurança cibernética de uma empresa estão se tornando cada vez mais aparentes. Agora que você foi apresentado ao NIST CSF, conheça suas funções principais e a melhor forma de implementá-lo em sua organização.
O que significa NIST?
NIST significa Instituto Nacional de Padrões e Tecnologia em Inglês. É uma agência governamental não regulatória que foi criada para impulsionar a inovação e promover a competitividade industrial nas áreas de ciência, engenharia e tecnologia.
principal função do NIST é criar práticas recomendadas (também conhecidas como padrões) para organizações e agências governamentais seguirem. Esses padrões de segurança são desenvolvidos com o objetivo de melhorar a postura de segurança de agências governamentais e empresas privadas que lidam com dados governamentais.
Eles também são conhecidos pelo NIST Cybersecurity Framework (CSF), que é um conjunto de diretrizes e práticas recomendadas projetadas para ajudar as organizações a melhorar suas estratégias de segurança cibernética.
Lançada pela primeira vez em 2014, a estrutura visa padronizar as práticas de segurança cibernética para que as organizações possam adotar uma abordagem uniforme para proteção contra violações de dados e outras formas de ataques cibernéticos. O Gartner estima que metade das organizações americanas estão em conformidade com o NIST desde 2020.
O que é conformidade com o NIST?
A conformidade do NIST é o processo de adequação com uma ou mais publicações do NIST. Esses padrões são definidos para garantir que os esforços de segurança cibernética sejam uniformes em todas as agências governamentais ou empresas que trabalham com o governo federal.
As empresas que fornecem produtos e serviços ao governo federal americano precisam atender a determinados mandatos de segurança estabelecidos pelo NIST. Especificamente, a Publicação Especial NIST 800-53 e a Publicação Especial NIST 800-171 são dois mandatos comuns com os quais as empresas que trabalham na cadeia de suprimentos federal americana podem precisar cumprir.
O primeiro rascunho da Publicação Especial NIST 800-171 “Protegendo Informações Não Classificadas Controladas em Sistemas e Organizações de Informação Não Federais” foi criado em maio de 2015.
Este documento original destinava-se a fornecer orientação para organizações não federais que buscam proteger informações federais confidenciais não classificadas que estavam armazenadas em seus próprios sistemas e ambientes de informação. Ele esclareceu seu papel em incidentes de violação de dados e forneceu orientações sobre os tipos de dados a serem protegidos e os tipos de proteções a serem aplicadas.
A versão mais recente deste documento é NIST SP 800-171 Rev2, que foi atualizada pela última vez em fevereiro de 2020.
A conformidade com o NIST facilita a adequação com outras estruturas de segurança, como a Lei Sarbanes-Oxley (SOX) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
Ao atender as boas práticas do NIST, você garante que os sistemas, dados e redes de sua organização e de seus clientes estejam protegidos contra ataques de segurança cibernética. Isso ajuda você a economizar um tempo significativo e evitar despesas que você possa ter incorrido no futuro devido a esses ataques.
A quem se destina a conformidade com o NIST?
O NIST Cybersecurity Framework (CSF), projetado para organizações do setor privado, visa garantir que a infraestrutura crítica de TI seja segura. A estrutura do NIST destina-se a fornecer orientação, mas não é focada em conformidade. O objetivo é incentivar as organizações a priorizar o tratamento dos riscos de segurança cibernética, semelhante aos riscos financeiros, de segurança industrial, pessoal e operacionais.
Outro objetivo da estrutura é inserir considerações sobre riscos de segurança cibernética nas discussões do dia a dia que ocorrem em organizações de todo o país.
O NIST CSF foi desenvolvido para ajudar uma organização que precisa proteger a infraestrutura que considera crítica. A estrutura pode ser usada para aumentar a segurança das seguintes maneiras:
- Determinar os níveis atuais de medidas de segurança cibernética implementadas, criando um perfil (logo abaixo falaremos mais sobre isso).
- Identificar novos padrões e políticas de segurança cibernética em potencial.
- Comunicar novos requisitos.
- Criar um novo programa e requisitos de segurança cibernética.
Qualquer empresa que faça negócios com o governo dos Estados Unidos deve cumprir o NIST. Isso inclui agências do governo dos EUA, bem como empresas e indivíduos que o governo pode contratar para realizar trabalhos em projetos. Além disso, qualquer pessoa que possa fazer negócios com o governo no futuro também deve cumprir.
Às vezes, a conformidade com o NIST pode até ser incluída no contrato que você assina com uma agência governamental. É importante ler cuidadosamente todos os contratos para ver se a conformidade com o NIST é um requisito. Além disso, um subcontratado contratado por uma empresa que realiza trabalhos para o governo também deve se certificar de que está em conformidade com o NIST.
Como funciona o framework NIST CSF?
O NIST CSF foi projetado para ser uma abordagem baseada em riscos para a segurança cibernética, tornando-o extremamente flexível. De empresas de infraestrutura crítica em energia e finanças a pequenas e médias empresas, a estrutura do NIST é facilmente adotada devido à sua natureza voluntária, o que a torna facilmente personalizável para as necessidades exclusivas de seus negócios quando se trata de segurança cibernética.
As funções principais, níveis de implementação e perfis fornecem às empresas a orientação necessária para criar uma postura de segurança cibernética de padrão global. Conheça a seguir um pouco mais sobre essas estruturas.
- Funções Principais: É um conjunto de atividades de segurança cibernética, resultados desejados e referências aplicáveis que são comuns em setores de infraestrutura crítica. Consiste em cinco funções simultâneas e contínuas: Identificar, Proteger, Detectar, Responder e Recuperar. Logo abaixo veremos os detalhes de cada uma dessas funções.
- Níveis de Implementação: Os níveis de implementação descrevem o grau em que as práticas de gerenciamento de riscos de segurança cibernética de uma organização exibem as características definidas no perfil, em uma faixa de Parcial (Nível 1) a Adaptativo (Nível 4).
- Perfil: Um perfil de estrutura representa as categorias e subcategorias das funções principais priorizadas por uma organização com base nas necessidades de negócios e pode ser usado para medir o progresso da organização em direção ao perfil alvo.
O NIST CSF é projetado de forma que todas as partes interessadas, sejam técnicas ou do lado comercial, possam entender os benefícios do padrão.
Como a estrutura adota uma abordagem de gerenciamento de risco bem alinhada com os objetivos de sua organização, não é apenas fácil para o pessoal técnico ver os benefícios de melhorar a segurança da empresa, mas também para os executivos.
A adoção do NIST resulta em comunicação aprimorada e tomada de decisões mais fácil em toda a sua organização e justificativa e alocação mais fáceis de orçamentos para esforços de segurança.
Conheça a seguir mais detalhes sobre cada parte do framework NIST CSF e as possibilidades de implementação em sua empresa.
Pilares do NIST CFC: As funções principais
O framework conta com um conjunto de atividades de segurança cibernética, resultados desejados e referências relevantes comuns em setores de infraestrutura crítica.
As funções principais do framework incluem padrões, diretrizes e práticas do setor que permitem a comunicação de atividades e resultados de segurança cibernética em toda a organização, desde o nível executivo até o nível de implementação/operações.
A estrutura NIST CSF consiste em 5 funções simultâneas e contínuas.
Identificação
A primeira função da estrutura define a função Identificação como prioridade à necessidade de “desenvolver o entendimento organizacional para gerenciar o risco de segurança cibernética para sistemas, ativos, dados e recursos”.
O foco está no negócio e como ele se relaciona com o risco de segurança cibernética, principalmente levando em consideração os recursos disponíveis. As principais atividades associadas a essa função, por exemplo, são:
- Gestão de ativos
- Ambiente de negócios
- Governança
- Avaliação de risco
- Estratégia de Gestão de Risco
A função Identificação estabelece as bases para ações relacionadas à segurança cibernética que sua organização tomará no futuro. Determinar o que existe, quais riscos estão associados a esses ambientes e como isso se relaciona no contexto com seus objetivos de negócios é crucial para o sucesso.
A implementação bem-sucedida da função Identificação leva as organizações a ter uma compreensão firme de todos os ativos e ambientes além da empresa, definindo os estados atuais e desejados de controles para proteger esses ativos e um plano para passar dos estados de segurança atuais para os desejados.
O resultado é um estado claramente definido da postura de segurança cibernética de uma organização articulada às partes interessadas técnicas e comerciais.
Proteção
No geral, o NIST afirma que a estrutura funciona para ajudar uma organização a expressar seu gerenciamento de riscos de segurança cibernética, organizando informações, compartilhando informações confidenciais, permitindo decisões de gerenciamento de riscos de segurança cibernética, abordando ameaças e melhorando aprendendo com atividades anteriores.
A função Proteção do framework é essencial porque sua finalidade é desenvolver e implementar proteções apropriadas para garantir a entrega de serviços de infraestrutura crítica. A função Proteção oferece suporte à capacidade de limitar ou conter o impacto de um possível evento de segurança cibernética.
De acordo com o NIST, exemplos de categorias de resultados dentro desta função incluem gerenciamento de identidade e controle de acesso, conscientização e treinamento, segurança de dados, processos e procedimentos de proteção de segurança da informação, manutenção e tecnologia de proteção.
Onde a Identificação se concentra principalmente na linha de base e no monitoramento, o Proteção é quando o framework começa a se tornar mais proativo. A função Proteção abrange categorias como controle de acesso e conscientização e treinamento.
A manifestação dessas categorias e da função Proteção como um todo é vista em práticas de autenticação de dois e multifatores para controlar o acesso a ativos e ambientes e treinamento de funcionários para reduzir o risco de acidentes e violações de engenharia social.
Com as violações se tornando cada vez mais comuns, o emprego de protocolos e políticas adequados para reduzir o risco de uma violação está se tornando especialmente crucial. A função Proteção da estrutura atua como guia e dita os resultados necessários para atingir esse objetivo.
Detecção
A função Detecção requer o desenvolvimento e implementação das atividades apropriadas para reconhecer a ocorrência de um evento de segurança cibernética.
A função Detecção permite a descoberta oportuna de eventos de segurança cibernética. Exemplos de categorias de resultados dentro desta função incluem:
- Anomalias e Eventos: O programa detectará atividades incomuns o mais rápido possível, e o impacto dos eventos é compreendido por todos em sua equipe e além. Prepare sua equipe para ter o conhecimento necessário para coletar e analisar dados de vários pontos para detectar um evento de segurança cibernética.
- Monitoramento Contínuo de Segurança: Os sistemas e ambientes de informações de monitoramento em intervalos especificados para identificar eventos cibernéticos. Torne sua equipe capaz de monitorar seus ativos 24 horas por dia, 7 dias por semana e 365 dias por ano.
- Processos de Detecção: Os procedimentos e processos de detecção são implementados e testados para garantir uma conscientização ampla e oportuna de eventos cibernéticos. Tente saber sobre uma violação o mais rápido possível e siga os requisitos de divulgação conforme necessário. Seu programa deve ser capaz de detectar o acesso inadequado aos seus dados o mais rápido possível.
A função Detecção do framework é uma etapa crítica para um programa cibernético robusto. Quanto mais rápido um evento cibernético for detectado, mais rápido as repercussões podem ser mitigadas.
A detecção de uma violação ou evento pode ser a vida ou a morte da sua empresa, tornando a função Detecção do framework essencial para a segurança e o sucesso dos negócios. Seguir essas práticas recomendadas e implementar essas soluções ajudará você a dimensionar seu programa e mitigar o risco de segurança cibernética.
Resposta
O NIST define a função Resposta como “desenvolver e implementar atividades apropriadas para agir em relação a um incidente de segurança cibernética detectado”.
A função de Resposta suporta a capacidade de conter o impacto de um possível incidente de segurança cibernética. Exemplos de categorias de resultado dentro desta função incluem planejamento de resposta, comunicações, análise, mitigação e melhorias.
A função Resposta emprega atividades de planejamento, análise e mitigação de resposta para garantir que o programa de segurança cibernética esteja em um estado de melhoria contínua.
Começar com um plano de resposta a incidentes é um primeiro passo vital para adotar a função Resposta. Garantindo a conformidade com os requisitos de relatórios necessários criptografados e transmitidos com segurança para um determinado local e setor.
Um excelente próximo passo é um plano de mitigação. Quais são as etapas que sua equipe tomará para remediar os riscos identificados para seu programa e organização?
Você está curtindo esse post? Inscreva-se para nossa Newsletter!
Newsletter Blog PT
Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.
Recuperação
O NIST CFC então identifica as principais categorias e subcategorias subjacentes para cada função e as combina com exemplos de referências informativas, como padrões, diretrizes e práticas existentes para cada subcategoria.
De acordo com o NIST, a Recuperação é definida como a necessidade de “desenvolver e implementar as atividades apropriadas para manter os planos de resiliência e restaurar quaisquer recursos ou serviços prejudicados devido a um evento de segurança cibernética”.
A função de Recuperação oferece suporte à recuperação oportuna de operações normais para reduzir o impacto de um evento de segurança cibernética. Exemplos de resultados para esta função do framework incluem:
- Planejamento de Recuperação: os procedimentos de recuperação são testados, executados e mantidos para que seu programa possa mitigar os efeitos de um evento mais cedo ou mais tarde.
- Melhorias: O planejamento e os processos de recuperação são aprimorados quando os eventos acontecem, e as áreas de melhoria são identificadas e as soluções são reunidas.
- Comunicação: Coordenar interna e externamente para maior organização, planejamento completo e execução.
A função Recuperação é essencial não só aos olhos da equipe de negócios e segurança, mas também aos clientes e ao mercado. A recuperação rápida com graça e tato coloca as empresas em posições muito melhores interna e externamente do que de outra forma.
Alinhar um plano de recuperação ajudará a garantir que, se ocorrer uma violação, a empresa poderá permanecer no caminho certo para atingir as metas e objetivos necessários e extrair importantes lições aprendidas.
Esses componentes críticos de qualquer programa de segurança cibernética bem-sucedido ajudam as organizações a gerenciar seu espaço digital com medidas de segurança adequadas.
Os pilares do NIST CFC formam a espinha dorsal de uma forte estrutura de segurança cibernética e podem fornecer às empresas itens acionáveis
Pilares do NIST CFC: Os níveis de implementação
As camadas de implementação do framework NIST CFC fornecem contexto sobre como uma organização vê o risco de segurança cibernética e os processos em vigor para gerenciar esse risco. Os níveis refletem uma progressão da resposta reativa informal para abordagens que são ágeis e altamente arriscadas.
Durante o processo de seleção de níveis, uma organização deve considerar suas práticas atuais de gerenciamento de risco, ambiente de ameaças, requisitos legais e regulatórios, objetivos de negócios e missão e restrições organizacionais, como orçamentos disponíveis. As quatro níveis de implementação são:
Nível 1: Parcial
- Processo de Gerenciamento de Risco: Não formalizado e o risco é gerenciado de forma não processual e às vezes reativa.
- Programa de Gestão Integrada de Riscos: Consciência limitada do risco de segurança cibernética em nível organizacional.
- Participação Externa: A organização não entende seu papel no ecossistema maior em relação às suas dependências ou dependentes.
Nível 2: Risco informado
- Processo de Gerenciamento de Riscos: As práticas de gerenciamento de riscos são aprovadas pela administração, mas não podem ser estabelecidas como política organizacional.
- Programa de Gestão Integrada de Riscos: Existe uma consciência do risco de segurança cibernética no nível organizacional, mas uma abordagem ampla da organização para gerenciar esse risco não foi estabelecida.
- Participação Externa: Geralmente, a organização entende seu papel no ecossistema maior em relação às suas próprias dependências ou dependentes, mas não a ambos.
Nível 3: Repetível
- Processo de Gerenciamento de Riscos: As práticas de gerenciamento de riscos da organização são formalmente aprovadas e expressas como política.
- Programa Integrado de Gestão de Riscos: Existe uma abordagem em toda a organização para gerenciar riscos de segurança cibernética.
- Participação Externa: A organização entende seu papel, dependências e dependentes no ecossistema maior e pode contribuir para uma compreensão mais ampla dos riscos da comunidade.
Nível 4: Adaptativo
- Processo de Gerenciamento de Risco: A organização adapta suas práticas de segurança cibernética com base em atividades de segurança cibernética anteriores e atuais, incluindo lições aprendidas e indicadores preditivos.
- Programa Integrado de Gerenciamento de Riscos: Existe uma abordagem em toda a organização para gerenciar riscos de segurança cibernética que usa políticas, processos e procedimentos informados sobre riscos para abordar possíveis eventos de segurança cibernética.
- Participação Externa: A organização entende seu papel, dependências e dependentes no ecossistema maior e contribui para a compreensão mais ampla dos riscos da comunidade.
Pilares do NIST CFC: Os perfis de estrutura
O perfil de estrutura descreve o alinhamento do núcleo da estrutura com os requisitos da organização, tolerância a riscos e recursos. Isso permite que seja estabelecido um roteiro para reduzir o risco de segurança cibernética que reflita as metas de negócios e os requisitos legais, as melhores práticas do setor e as prioridades de gerenciamento de risco.
Os perfis de estrutura podem ser descritos em dois estados principais: perfil atual e perfil de destino.
Perfil Atual
O perfil atual de uma organização indica os resultados de segurança cibernética que estão sendo alcançados atualmente. Isso descreve a situação atual de uma organização do ponto de vista do gerenciamento de riscos.
A reavaliação deve ocorrer periodicamente à medida que mudanças e melhorias são implementadas para verificar se os requisitos de segurança cibernética ainda estão sendo atendidos. É importante observar quando os resultados são parcialmente alcançados, pois isso ajuda a apoiar as etapas subsequentes no esforço para combinar o perfil atual com o perfil alvo.
Perfil de Destino
O perfil de destino é uma indicação dos resultados necessários para atingir as metas desejadas de gerenciamento de riscos de segurança cibernética. A comparação do perfil atual com o perfil de destino pode revelar lacunas a serem abordadas para atender aos objetivos de gerenciamento de riscos de segurança cibernética.
Conforme mencionado, as organizações podem monitorar o progresso no alcance dessas metas por meio de atualizações iterativas do perfil atual. Essas metas delineadas no perfil de destino devem ser incorporadas ao planejar componentes adicionais e adicionar dependências a projetos dentro da organização; eles também podem servir como uma lista de verificação para ajudar a verificar se todos os recursos de segurança cibernética foram implementados.
Um perfil de destino pode servir como uma poderosa ferramenta de comunicação para transmitir os requisitos de gerenciamento de riscos de segurança cibernética a um provedor de serviços externo, por exemplo.
Quais os benefícios da conformidade com o NIST?
A premissa básica do framework é ajudar as organizações a gerenciar melhor e reduzir o risco de segurança cibernética com base nos padrões estabelecidos do setor e nas melhores práticas.
Conheça a seguir alguns benefícios que seguir o NIST CSF pode trazer para o seu negócio.
Cria uma abordagem iterativa e de longo prazo para a segurança cibernética da sua organização
Em vez de uma cultura de auditorias pontuais, o NIST CSF define uma postura de segurança cibernética que é mais adaptável e responsiva às ameaças em evolução. Se você implementar a estrutura globalmente aceita, a maneira como sua organização lida com a segurança cibernética é transformada em um estado de conformidade contínua, o que resulta em uma abordagem mais forte para proteger as informações e os ativos de sua organização.
Ajuda sua organização a alcançar um padrão global de segurança cibernética
O NIST CSF é construído com base na experiência de vários profissionais de segurança da informação em todo o mundo. É reconhecido mundialmente como a melhor prática do setor e o conjunto de controles mais detalhado de qualquer estrutura, permitindo que sua organização cubra quaisquer pontos cegos que possa ter perdido ao abordar sua segurança cibernética.
Permite um crescimento mais rápido dos negócios e é um ponto de venda valioso para fornecedores e vendedores
O fato de sua organização ter adotado ou não o NIST SFC pode ser um fator decisivo imediato quando se trata de relacionamentos com clientes, fornecedores e fornecedores. A segurança cibernética está rapidamente se tornando um ponto de venda importante, a implementação de um padrão como o NIST ajuda sua organização a crescer mais rapidamente por meio de relações eficazes com as cadeias de suprimentos.
Suporta atividades de gerenciamento de risco
O NIST SFC pode ajudar a orientar sua organização através dos principais pontos de decisão sobre as atividades de gerenciamento de risco. O framework permite comunicações de gerenciamento de risco de ponta a ponta em toda a sua organização. O uso da estrutura de segurança cibernética ajudará sua organização a identificar e avaliar riscos e determinar quais atividades são mais importantes para a prestação de serviços críticos e priorizar gastos para maximizar o impacto de seu investimento.
Melhora a comunicação entre os líderes técnicos e financeiros do seu negócio
Com o NIST CSF, suas equipes técnicas e financeiras agora estarão falando a mesma língua. Essa estrutura de segurança cibernética do NIST permite uma abordagem integrada de gerenciamento de riscos ao gerenciamento de segurança cibernética alinhada aos objetivos de negócios. Isso força muitos departamentos a trabalharem juntos para garantir que as metas de gerenciamento de risco sejam definidas e cumpridas. Quando todos os departamentos entendem os riscos e trabalham juntos, você tem uma organização focada em atingir seus objetivos.
A flexibilidade do framework faz com que seja um bom caminho para qualquer organização
Embora o NIST tenha projetado a estrutura com o setor de infraestrutura crítica em mente, a estrutura de segurança cibernética é flexível o suficiente para ser usada por empresas de qualquer tamanho em qualquer setor. Como o Framework é orientado a resultados e não determina como uma organização deve atingir esses resultados, ele permite a escalabilidade.
Uma pequena organização com um baixo orçamento de segurança cibernética ou uma grande corporação com um grande orçamento são capazes de abordar o resultado de uma maneira viável para eles. É essa flexibilidade que permite que o framework seja usado por organizações que estão apenas começando a estabelecer um programa de segurança cibernética, ao mesmo tempo em que agrega valor a organizações com programas maduros.
A Gestão de Acesso Privilegiado, padrões e frameworks
Com a transformação digital e o aumento da concorrência, é cada vez mais importante que as organizações alcancem resultados progressivos e melhores usando menos recursos. Nesse sentido, os requisitos de negócios vêm mudando ao longo dos últimos anos, a partir de um novo panorama de novas ameaças, regulamentações, bem como mudanças nas relações entre empresas, clientes e parceiros.
Dado esse pano de fundo, há uma série de regras e frameworks que envolvem desde aspectos técnicos até questões de negócios. Alguns exemplos incluem o desenvolvimento da governança corporativa, garantia da proteção dos dados de pagamento dos clientes ou melhoria na atitude e mitigação dos riscos de segurança cibernética dentro de uma organização.
Os padrões e estruturas de segurança cibernética provaram ser ferramentas poderosas para as organizações. Essas diretrizes foram desenvolvidas com o objetivo de oferecer uma abordagem sistemática para proteger os dados de funcionários, clientes e parceiros.
Para resumir, esses padrões introduzem modelos para permitir que as organizações entendam sua abordagem de segurança e saibam como melhorá-la. E como eles foram testados em diferentes situações e indústrias, pode-se atestar sua confiança e eficácia.
Algumas das principais estruturas, regulamentos e padrões de gerenciamento de riscos de segurança cibernética são os padrões ISO 27000, o NIST’s Cybersecurity Framework (e, mais recentemente, o Privacy Framework), o padrão PCI DSS e o Center for Internet Security’s (CIS) Critical Security Controls.
Para garantir a conformidade com essas regras e regulamentos, as organizações podem implantar soluções de segurança, como Privileged Access Management ou ferramentas PAM.
Embora os controles desses frameworks abordem vários aspectos da Segurança da Informação, alguns deles são influenciados ou efetivamente requerem os conceitos associados ao PAM.
Por que implementar uma solução PAM em sua empresa?
Privileged Access Management (PAM) refere-se a um conjunto de tecnologias e práticas que monitoram e gerenciam o acesso privilegiado (também chamado de acesso administrativo) a sistemas críticos.
Por meio de uma credencial privilegiada, um usuário pode, por exemplo, modificar configurações do sistema, contas de usuário e acessar dados críticos. Assim, dado seu nível de acesso e controle sobre os sistemas que gerenciam informações ou processos, um usuário privilegiado expõe a organização a potenciais riscos de negócios.
Seja por meio de um ataque, abuso de privilégios ou erro humano, um usuário privilegiado pode ser um vetor de ataque para um possível incidente de segurança.
Considerando os controles críticos de segurança do NIST CSF para uma defesa cibernética eficaz, um dos controles introduzidos pela estrutura aborda diretamente os aspectos do PAM. Assim, os sub controles endereçados pelo controle principal estão associados ao uso controlado de privilégios administrativos, considerando o gerenciamento de acesso por meio de contas privilegiadas.
Usar qualquer uma dessas estruturas de segurança cibernética não é uma tarefa fácil para qualquer organização, independentemente de seu tamanho, setor ou experiência. Nesse contexto, uma solução PAM pode ser considerada uma importante ferramenta para agilizar a implementação da infraestrutura de cibersegurança e permitir a implementação de funções relacionadas à identidade e controle de acesso.
Além disso, uma solução PAM permite controlar credenciais privilegiadas, trazendo conformidade para a organização em termos de segurança cibernética. Assim, quem descobre o seu valor acrescentado e consegue implementar os controlos associados pode reduzir os riscos de cibersegurança, bem como garantir a continuidade do negócio.