Organizações de todos os tipos estão cada vez mais sujeitas a roubo e perda de dados, sejam informações de clientes, propriedade intelectual ou arquivos confidenciais da empresa.
Nos Estados Unidos, o governo federal e seus contratantes privados confiam há muito tempo no Instituto Nacional de Padrões e Tecnologia (NIST) para desenvolver padrões e orientações para proteção de informações.
Um dos mais importantes é o NIST CSF (Cybersecurity Framework), que ajuda a fornecer estrutura e contexto à segurança cibernética. As organizações do sector privado devem ser motivadas a implementar o NIST CSF não só para melhorar a sua segurança cibernética, mas também para reduzir o seu risco potencial de responsabilidade legal.
Embora o NIST esteja ativo há algum tempo, o CSF surgiu a partir da Lei de Melhoria da Segurança Cibernética de 2014, aprovada em dezembro daquele ano. Desde a sua criação, o NIST CSF tem ajudado todos os tipos de empresas, independentemente do tamanho e do setor, a enfrentar ameaças cibernéticas com uma abordagem flexível e baseada em riscos.
Os seus benefícios para os esforços de segurança cibernética de uma empresa estão a tornar-se cada vez mais evidentes. Aprenda sobre as funções principais do NIST e a melhor forma de implementá-las em sua organização.
O que significa e qual a função do NIST?
NIST significa Instituto Nacional de Padrões e Tecnologia em inglês. É uma agência governamental não regulatória criada para impulsionar a inovação e promover a competitividade industrial nas áreas de ciência, engenharia e tecnologia.
A principal função do NIST é criar melhores práticas (também conhecidas como padrões) a serem seguidas por organizações e agências governamentais. Esses padrões de segurança são desenvolvidos para melhorar a postura de segurança de agências governamentais e empresas privadas que lidam com dados governamentais.
Eles também são conhecidos pelo NIST Cybersecurity Framework (CSF), que é um conjunto de diretrizes e práticas recomendadas projetadas para ajudar as organizações a melhorar suas estratégias de segurança cibernética.
Lançada pela primeira vez em 2014, a estrutura visa padronizar as práticas de segurança cibernética para que as organizações possam adotar uma abordagem uniforme para proteção contra violações de dados e outras formas de ataques cibernéticos. O Gartner estima que metade das organizações dos EUA estão em conformidade com o NIST desde 2020.
Como entrar em conformidade com o NIST?
Conformidade com o NIST é o processo de conformidade com uma ou mais publicações do NIST. Esses padrões são definidos para garantir que os esforços de segurança cibernética sejam uniformes em agências governamentais ou empresas que trabalham com o governo federal.
Empresas que fornecem produtos e serviços para os EUA o governo federal precisa cumprir certos mandatos de segurança estabelecidos pelo NIST. Mais especificamente, a Publicação Especial NIST 800-53 e a Publicação Especial NIST 800-171 são dois mandatos comuns que as empresas que trabalham nos EUA. cadeia de abastecimento federal pode precisar cumprir.
O primeiro rascunho da Publicação Especial NIST 800-171 “Protegendo Informações Não Classificadas Controladas em Sistemas e Organizações de Informação Não Federais” foi criado em maio de 2015.
Este documento original tinha como objetivo orientar organizações não federais que buscam proteger informações federais confidenciais não classificadas armazenadas em seus próprios sistemas e ambientes de informação. Esclareceu o seu papel em incidentes de violação de dados e orientou os tipos de dados a serem protegidos e os tipos de proteções a serem aplicadas.
A versão mais recente deste documento é NIST SP 800-171 Rev2, que foi atualizada pela última vez em fevereiro de 2020.
A conformidade com o NIST facilita a conformidade com outras estruturas de segurança, como a Lei Sarbanes-Oxley (SOx) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
Ao cumprir as melhores práticas do NIST, você garante que os sistemas, dados e redes da sua organização e dos seus clientes estejam protegidos contra ataques de segurança cibernética. Isso ajuda você a economizar um tempo significativo e evitar despesas que possa ter no futuro devido a esses ataques.
Para quem o NIST foi feito?
O NIST Cybersecurity Framework (CSF), concebido para empresas do setor privado, visa garantir que a infraestrutura crítica de TI esteja segura. A estrutura do NIST destina-se a fornecer orientação, mas não é focada na conformidade.
O objetivo é incentivar as organizações a priorizar o tratamento dos riscos de segurança cibernética, semelhantes aos riscos de segurança financeiros, industriais, pessoais e operacionais.
Outro objetivo da estrutura é inserir considerações sobre riscos de segurança cibernética nas discussões cotidianas que ocorrem em organizações de todo o país.
O NIST CSF foi desenvolvido para ajudar uma empresa que precisa proteger a infraestrutura que considera crítica. A estrutura pode ser usada para aumentar a segurança das seguintes maneiras:
- Determinar os níveis atuais de medidas de segurança cibernética implementadas através da criação de um perfil (falaremos mais sobre isso abaixo)
- Identificar potenciais novos padrões e políticas de segurança cibernética
- Comunicar novos requisitos
- Criar um novo programa e requisitos de segurança cibernética
Qualquer empresa que faça negócios com o governo dos Estados Unidos deve cumprir o NIST. Isso inclui as agências governamentais, bem como empresas e indivíduos que o governo pode contratar para realizar trabalhos de projeto. Além disso, qualquer pessoa que possa fazer negócios com o governo no futuro também deverá cumprir.
Às vezes, a conformidade com o NIST pode até ser incluída no contrato que você assina com uma agência governamental. É importante ler atentamente todos os acordos para ver se a conformidade com o NIST é um requisito. Além disso, um subcontratado contratado por uma empresa que realiza trabalhos para o governo também deve certificar-se de que está em conformidade com o NIST.
Como o NIST CSF Framework funciona?
O NIST CSF foi projetado para ser uma abordagem de segurança cibernética baseada em risco, tornando-o extremamente flexível. Desde empresas de infraestrutura crítica de energia e finanças até pequenas e médias empresas.
A estrutura do NIST é facilmente adotada devido à sua natureza voluntária, o que a torna facilmente personalizável de acordo com as necessidades exclusivas do seu negócio quando se trata de segurança cibernética.
Funções principais, níveis de implementação e perfis fornecem às empresas a orientação necessária para criar uma postura de segurança cibernética padrão global. Conheça um pouco mais sobre essas estruturas a seguir.
- Funções principais: É um conjunto de atividades de segurança cibernética, resultados desejados e parâmetros de referência aplicáveis que são comuns em setores de infraestrutura crítica. Consiste em cinco funções simultâneas e contínuas: Identificar, Proteger, Detectar, Responder e Recuperar.
- Níveis de Implementação: Descrevem o grau em que as práticas de gestão de riscos de segurança cibernética de uma organização apresentam as características definidas no perfil, numa faixa de Parcial (Nível 1) a Adaptável (Nível 4).
- Perfil: Um perfil de estrutura representa as categorias e subcategorias de funções essenciais priorizadas por uma organização com base nas necessidades de negócios e pode ser usado para medir o progresso da organização em direção ao perfil alvo.
O NIST CSF foi projetado para que todas as partes interessadas, sejam elas técnicas ou comerciais, possam compreender os benefícios da norma.
Como a estrutura adota uma abordagem de gerenciamento de riscos bem alinhada com os objetivos da sua organização, não é fácil apenas para o pessoal técnico ver os benefícios de melhorar a segurança da empresa, mas também para os executivos.
A adoção do NIST resulta em melhor comunicação e tomada de decisões mais fácil em toda a sua organização, além de justificativa e alocação mais fáceis de orçamentos para esforços de segurança.
Conheça mais detalhes sobre cada parte do framework NIST CSF e as possibilidades de implementação em sua empresa a seguir.
Pilares da NIST CFC: Funções Essenciais
O quadro baseia-se num conjunto de atividades de cibersegurança, resultados desejados e parâmetros de referência comuns e relevantes em setores de infraestruturas críticas.
As funções principais da estrutura incluem padrões, diretrizes e práticas do setor que permitem a comunicação de atividades e resultados de segurança cibernética em toda a empresa, desde o nível executivo até o nível de implementação/operações.
A estrutura NIST CSF consiste em 5 funções simultâneas e contínuas.
Identificação
A primeira função do quadro define a função de Identificação como uma prioridade para a necessidade de “desenvolver a compreensão organizacional para gerir o risco de segurança cibernética para sistemas, ativos, dados e recursos”.
O foco está no negócio e na forma como ele se relaciona com os riscos de segurança cibernética, levando em consideração principalmente os recursos disponíveis. As principais atividades associadas a esta função, por exemplo, são:
- Gestão de ativos
- Ambiente de negócios
- Governança
- Avaliação de risco
- Estratégia de Gestão de Risco
A função de Identificação estabelece as bases para ações relacionadas à segurança cibernética que sua organização realizará no futuro. Estabelecer o que existe, quais riscos estão associados a esses ambientes e como isso se relaciona no contexto com seus objetivos de negócios é crucial para o sucesso.
A implementação bem-sucedida da função de identificação leva as organizações a ter um entendimento sólido de todos os ativos e ambientes fora da empresa, definindo os estados de controle atuais e desejados para proteger esses ativos e um plano para passar dos estados de segurança atuais para os desejados.
O resultado é um estado claramente definido da postura de segurança cibernética de uma organização articulada com as partes interessadas técnicas e comerciais.
Proteção
No geral, o NIST afirma que a estrutura funciona para ajudar uma organização a expressar a sua gestão de riscos de segurança cibernética, organizando informações, partilhando informações sensíveis, permitindo decisões de gestão de riscos de segurança cibernética, abordando ameaças e melhorando através da aprendizagem de atividades anteriores.
A função de Protecção do quadro é essencial porque o seu objectivo é desenvolver e implementar proteções adequadas para garantir a entrega de serviços de infra-estruturas críticas. A função Proteção oferece suporte à capacidade de limitar ou conter o impacto de um possível evento de segurança cibernética.
De acordo com o NIST, exemplos de categorias de resultados dentro desta função incluem gerenciamento de identidade e controle de acesso, conscientização e treinamento, segurança de dados, processos e procedimentos de proteção de segurança da informação, manutenção e tecnologia de proteção.
Enquanto a Identificação se concentra principalmente na linha de base e no monitoramento, a Proteção é quando a estrutura começa a se tornar mais proativa. A função Proteção abrange categorias como controle de acesso e conscientização e treinamento.
A aplicação dessas categorias e da função de Proteção como um todo é vista em práticas de autenticação bifatorial e multifatorial para controlar o acesso a ativos e ambientes e no treinamento de funcionários para reduzir o risco de acidentes e violações de engenharia social.
Com as violações a tornarem-se cada vez mais comuns, a utilização de protocolos e políticas apropriadas para reduzir o risco de uma violação torna-se especialmente crucial. A função de Proteção do framework funciona como um guia e dita os resultados necessários para atingir esse objetivo.
Detecção
A função de Detecção requer o desenvolvimento e implementação de atividades apropriadas para reconhecer a ocorrência de um evento de segurança cibernética
Ela permite a descoberta oportuna de eventos de segurança cibernética. Exemplos de categorias de resultados dentro desta função incluem:
- Anomalias e Eventos: O programa detectará atividades incomuns o mais rápido possível, e o impacto dos eventos será compreendido por todos em sua equipe e além dela. Prepare sua equipe para ter conhecimento para coletar e analisar dados de múltiplos pontos para detectar um evento de segurança cibernética.
- Monitoramento Contínuo de Segurança: Monitoramento de sistemas e ambientes de informação em intervalos especificados para identificar eventos cibernéticos. Torne sua equipe capaz de monitorar seus ativos 24 horas por dia, 7 dias por semana e 365 dias por ano.
- Processos de detecção: Os procedimentos e processos de detecção são implementados e testados para garantir uma conscientização ampla e oportuna sobre eventos cibernéticos. Tente tomar conhecimento de uma violação o mais rápido possível e siga os requisitos de divulgação conforme necessário. Seu programa deve ser capaz de detectar acesso inadequado aos seus dados o mais rápido possível.
A função de detecção da estrutura é uma etapa crítica para um programa cibernético robusto. Quanto mais rápido um evento cibernético for detectado, mais rapidamente as repercussões poderão ser mitigadas.
A detecção de uma violação ou evento pode significar a vida ou a morte da sua empresa, tornando a função de Detecção do framework essencial para a segurança e o sucesso do negócio. Seguir essas práticas recomendadas e implementar essas soluções ajudará você a dimensionar seu programa e a mitigar os riscos de segurança cibernética.
Resposta
O NIST define a função de Resposta como “desenvolver e implementar atividades apropriadas para agir em caso de incidente de segurança cibernética detectado”.
A função Resposta oferece suporte à capacidade de conter o impacto de um possível incidente de segurança cibernética. Exemplos de categorias de resultados nesta função incluem planeamento de resposta, comunicações, análise, mitigação e melhorias.
A função Resposta emprega atividades de planejamento, análise e mitigação de resposta para garantir que o programa de segurança cibernética esteja em estado de melhoria contínua.
Começar com um plano de resposta a incidentes é um primeiro passo vital na adoção da função de Resposta. Ele garante a conformidade com os requisitos de relatórios exigidos, criptografados e transmitidos com segurança para um determinado local e setor.
Um excelente próximo passo é um plano de mitigação. Que medidas a sua equipe tomará para remediar os riscos identificados para o seu programa e organização?
Recuperação
O NIST CFC identifica então as principais categorias e subcategorias subjacentes para cada função e combina-as com exemplos de referências informativas, tais como padrões, diretrizes e práticas existentes para cada subcategoria.
De acordo com o NIST, a Recuperação é definida como a necessidade de “desenvolver e implementar atividades apropriadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços prejudicados devido a um evento de segurança cibernética”.
A função de recuperação oferece suporte à recuperação oportuna das operações normais para reduzir o impacto de um evento de segurança cibernética. Exemplos de resultados para a função desta estrutura incluem:
- Planejamento de recuperação: Os procedimentos de recuperação são testados, executados e mantidos para que seu programa possa mitigar os efeitos de um evento, mais cedo ou mais tarde.
- Melhorias: O planejamento e os processos de recuperação são melhorados quando os eventos acontecem, as áreas de melhoria são identificadas e as soluções são elaboradas.
- Comunicação: Coordenar interna e externamente para maior organização, planejamento completo e execução.
A função Recovery é essencial não só aos olhos da equipa de negócio e segurança, mas também aos clientes e ao mercado. A recuperação rápida coloca as empresas em posições muito melhores, interna e externamente, do que de outra forma.
O alinhamento de um plano de recuperação ajudará a garantir que, caso ocorra uma violação, a empresa possa permanecer no caminho certo para atingir as metas e objetivos necessários e tirar lições importantes aprendidas.
Estes componentes críticos de qualquer programa de segurança cibernética bem-sucedido ajudam as organizações a gerir o seu espaço digital com medidas de segurança adequadas.
Os pilares do NIST CFC formam a espinha dorsal de uma forte estrutura de segurança cibernética e podem fornecer às empresas itens viáveis para melhorar a maturidade da segurança cibernética.
Pilares NIST CFC: níveis de implementação
Os níveis de implementação da estrutura CFC do NIST fornecem contexto sobre como uma organização vê o risco de segurança cibernética e os processos em vigor para gerenciar esse risco. Eles também refletem uma progressão da resposta reativa informal a abordagens que são ágeis e altamente arriscadas.
Durante o processo de seleção de níveis, uma organização deve considerar as suas práticas atuais de gestão de riscos, o ambiente de ameaças, os requisitos legais e regulamentares, os objetivos e a missão do negócio e as restrições organizacionais, como os orçamentos disponíveis. Os quatro níveis de implementação são:
Tíer 1: Parcial
- Processo de Gestão de Risco: Não formalizado e o risco é gerido de forma não processual e por vezes reativa.
- Programa Integrado de Gestão de Riscos: Conscientização limitada do risco de segurança cibernética no nível organizacional.
- Participação Externa: A organização não entende o seu papel no ecossistema mais amplo sobre suas dependências ou dependentes.
Tíer 2: Risco Informado
- Processo de Gestão de Riscos: As práticas de gestão de riscos são aprovadas pela administração, mas não podem ser estabelecidas como política organizacional.
- Programa Integrado de Gestão de Riscos: Existe uma consciência do risco de segurança cibernética a nível organizacional, mas uma abordagem ampla para gerir este risco não foi estabelecida pela organização.
- Participação Externa: Geralmente, a organização compreende o seu papel no ecossistema mais amplo sobre as suas dependências ou dependentes, mas não ambos.
Tíer 3: Replicável
- Processo de Gestão de Riscos: As práticas de gestão de riscos da organização são formalmente aprovadas e expressas como uma política.
- Programa Integrado de Gestão de Riscos: Existe uma abordagem que abrange toda a organização para gerenciar riscos de segurança cibernética.
- Participação Externa: A organização compreende o seu papel, dependências e dependentes no ecossistema mais amplo e pode contribuir para uma compreensão mais ampla dos riscos comunitários.
Tíer 4: Adaptativa
- Processo de gestão de riscos: A organização adapta suas práticas de segurança cibernética com base em atividades de segurança cibernética passadas e atuais, incluindo lições aprendidas e indicadores preditivos.
- Programa Integrado de Gestão de Riscos: Existe uma abordagem em toda a organização para gerenciar riscos de segurança cibernética que utiliza políticas, processos e procedimentos de risco informados para lidar com possíveis eventos de segurança cibernética.
- Participação Externa: A organização compreende o seu papel, dependências e dependentes no ecossistema mais amplo e contribui para uma compreensão mais ampla dos riscos da comunidade.
Pilares do NIST CFC: o Framework de Perfis
Os perfis da estrutura descrevem o alinhamento do núcleo da estrutura com os requisitos, tolerância a riscos e recursos da organização. Isto permite estabelecer um roteiro para reduzir o risco de segurança cibernética que reflita os objetivos de negócios e os requisitos legais, as melhores práticas do setor e as prioridades de gestão de riscos.
Os perfis da estrutura podem ser descritos em dois estados principais: perfil atual e perfil alvo.
Perfil Atual
O perfil atual de uma organização indica os resultados de segurança cibernética que estão sendo alcançados atualmente. Descreve a situação atual de uma organização do ponto de vista da gestão de riscos.
A reavaliação deve ocorrer periodicamente à medida que mudanças e melhorias são implementadas para verificar se os requisitos de segurança cibernética ainda estão sendo atendidos. É importante notar quando os resultados são parcialmente alcançados, pois isso ajuda a apoiar os passos subsequentes no esforço para combinar o perfil atual com o perfil alvo.
Perfil Alvo
O perfil alvo é uma indicação dos resultados necessários para atingir os objetivos desejados de gestão de riscos de segurança cibernética. Uma comparação do perfil atual com o perfil alvo pode revelar lacunas a colmatar para cumprir os objetivos de gestão dos riscos de cibersegurança.
As organizações podem monitorizar o progresso destes objetivos através de atualizações iterativas do perfil atual. Essas metas delineadas no perfil-alvo devem ser incorporadas ao planejar componentes adicionais e adicionar dependências aos projetos dentro da organização; eles também podem funcionar como uma lista de verificação para ajudar a verificar se todos os recursos de segurança cibernética foram implementados.
Um perfil-alvo pode servir como uma poderosa ferramenta de comunicação para transmitir requisitos de gestão de riscos de segurança cibernética a um fornecedor de serviços externo, por exemplo.
Quais os benefícios da conformidade com o NIST?
A premissa básica da estrutura é ajudar as organizações a gerenciar e reduzir melhor os riscos de segurança cibernética com base nos padrões e melhores práticas estabelecidas do setor.
Aqui estão alguns benefícios que a conformidade com o NIST CSF pode trazer para o seu negócio.
Cria uma abordagem iterativa e de longo prazo para a segurança cibernética da sua organização
Em vez de uma cultura de auditorias únicas, o NIST CSF define uma postura de segurança cibernética que é mais adaptável e responsiva às ameaças em evolução.
Se você implementar a estrutura aceita globalmente, a forma como sua organização lida com a segurança cibernética será transformada em um estado de conformidade contínua, o que resulta em uma abordagem mais forte para proteger as informações e os ativos da sua empresa.
Ajuda sua organização a alcançar um padrão global de segurança cibernética
O NIST CSF baseia-se na experiência de vários profissionais de segurança da informação em todo o mundo. É reconhecido mundialmente como uma prática recomendada do setor e o conjunto de controles mais detalhado de qualquer estrutura, permitindo que sua organização cubra quaisquer pontos cegos que você possa ter perdido ao abordar sua segurança cibernética.
Permite um crescimento mais rápido dos negócios e é um valioso ponto de venda para fornecedores e vendedores
Se a sua organização adotou ou não o NIST SFC pode ser um fator decisivo imediato quando se trata de relacionamentos com clientes, fornecedores e fornecedores. A segurança cibernética está rapidamente se tornando um importante argumento de venda, portanto, a implementação de um padrão como o NIST ajuda sua organização a crescer mais rapidamente por meio de relacionamentos eficazes na cadeia de suprimentos.
Apoia atividades de gerenciamento de risco
O NIST SFC pode ajudar a orientar sua organização nos principais pontos de decisão sobre atividades de gerenciamento de riscos. A estrutura permite comunicações de gerenciamento de riscos de ponta a ponta em toda a sua organização. A utilização da estrutura de segurança cibernética ajudará a sua organização a identificar e avaliar riscos e a determinar quais atividades são mais importantes para fornecer serviços críticos e priorizar gastos para maximizar o impacto do seu investimento.
Melhora a comunicação entre os líderes técnicos e financeiros do seu negócio
Com o NIST CSF, suas equipes técnicas e financeiras falarão a mesma língua. Esta estrutura de segurança cibernética do NIST permite uma abordagem integrada de gestão de riscos para a gestão da segurança cibernética alinhada com os objetivos de negócios. Isto força muitos departamentos a trabalharem juntos para garantir que as metas de gestão de riscos sejam definidas e cumpridas. Quando todos os departamentos entendem os riscos e colaboram, você tem uma organização focada em atingir seus objetivos.
A flexibilidade da estrutura torna-a um bom caminho para qualquer organização
Embora o NIST tenha concebido a estrutura tendo em mente a indústria de infraestruturas críticas, a estrutura de segurança cibernética é suficientemente flexível para ser utilizada por empresas de qualquer dimensão e em qualquer setor. Como a Estrutura é orientada para resultados e não determina como uma organização deve alcançar esses resultados, ela permite a escalabilidade.
Tanto uma pequena organização com um baixo orçamento para segurança cibernética quanto uma grande empresa com um grande orçamento podem facilmente aproximar-se do resultado. É esta flexibilidade que permite que a estrutura seja utilizada por organizações que estão apenas começando a estabelecer um programa de segurança cibernética, ao mesmo tempo que agrega valor às organizações com programas maduros.
Gestão de Acesso Privilegiado, Padrões e Frameworks
Com a transformação digital e o aumento da concorrência, é cada vez mais importante que as organizações alcancem resultados progressivos e melhores utilizando menos recursos. Nesse sentido, os requisitos de negócio vêm mudando ao longo dos últimos anos a partir de um novo panorama de novas ameaças e regulamentações, bem como de mudanças nas relações entre empresas, clientes e parceiros.
Diante desse cenário, diversas regras e estruturas envolvem desde aspectos técnicos até questões de negócios. Alguns exemplos incluem o desenvolvimento da governança corporativa, a garantia da proteção dos dados de pagamento dos clientes, a melhoria da atitude e a mitigação dos riscos de segurança cibernética dentro de uma organização.
Os padrões e estruturas de segurança cibernética provaram ser ferramentas poderosas para as organizações. Estas diretrizes foram desenvolvidas para oferecer uma abordagem sistemática para proteger os dados de funcionários, clientes e parceiros.
Resumindo, estes padrões introduzem modelos que permitem às organizações compreender a sua abordagem de segurança e saber como melhorá-la. E como foram testados em diferentes situações e indústrias, pode-se atestar a sua confiança e eficácia.
Algumas das principais estruturas, regulamentos e padrões de gerenciamento de riscos de segurança cibernética são os padrões ISO 27000, o Quadro de Segurança Cibernética do NIST o Quadro de Privacidade, o padrão PCI DSS e o Critical Security do Center for Internet Security (CIS).
Para garantir a conformidade com essas regras e regulamentos, as organizações podem implantar soluções de segurança, como gerenciamento de acesso privilegiado ou ferramentas PAM.
Embora os controles desses frameworks abordam diversos aspectos da Segurança da Informação, alguns deles são influenciados ou efetivamente exigem os conceitos associados ao PAM.
Por que você deve implementar uma solução PAM na sua empresa?
Privileged Access Management (PAM) refere-se a um conjunto de tecnologias e práticas que monitoram e gerenciam o acesso privilegiado (também chamado de acesso administrativo) a sistemas críticos.
Através de uma credencial privilegiada, um usuário pode, por exemplo, modificar configurações do sistema e contas de usuário e acessar dados críticos. Assim, dado o seu nível de acesso e controle sobre os sistemas que gerenciam informações ou processos, um usuário privilegiado expõe a organização a potenciais riscos de negócio.
Seja por meio de um ataque, abuso de privilégio ou erro humano, um usuário privilegiado pode ser um vetor de ataque para um possível incidente de segurança.
Considerando os controles de segurança críticos do NIST CSF para uma defesa cibernética eficaz, um dos controles introduzidos pela estrutura aborda diretamente aspectos do PAM. Assim, os sub controles abordados pelo controle núcleo estão associados ao uso controlado de privilégios administrativos, considerando o gerenciamento de acesso através de contas privilegiadas.
Usar qualquer uma dessas estruturas de segurança cibernética não é uma tarefa fácil para nenhuma organização, independentemente de seu tamanho, setor ou experiência. Neste contexto, uma solução PAM pode ser considerada uma ferramenta importante para acelerar a implementação de infraestruturas de cibersegurança e permitir a implementação de funções relacionadas com o controle de identidade e acesso.
Além disso, uma solução PAM permite gerenciar amplamente as credenciais privilegiadas, trazendo conformidade para a organização em termos de segurança cibernética.
Agende uma demonstração com nossos especialistas e descubra como o senhasegura pode atender às suas necessidades.
