Edward Amoroso

[Nota do editor: Este artigo é um post convidado do CEO e fundador da TAG, Ed Amoroso].

Os profissionais de cibersegurança que trabalham para agências federais nos Estados Unidos sabem que têm de aprender a descodificar vários acrónimos, como FedRAMP, FISMA, RMF, etc. Têm de o fazer porque as normas e os quadros que estes acrónimos representam se destinam a orientar a tomada de decisões por parte das equipas do sector público encarregadas de proteger dados, sistemas e redes contra ciberameaças.

A nível setorial, as coisas tornam-se mais específicas. Os departamentos de defesa têm de lidar com o seu próprio conjunto local de acrónimos, como CMMC. As agências de cuidados de saúde têm de lidar com acrónimos como HIPAA. E as agências financeiras têm de lidar com acrónimos como GLBA. É certo que estes quadros se aplicam, em geral, a organizações dos sectores público e privado, mas ninguém contesta a complexidade envolvida.

O desafio que observámos no nosso trabalho de investigação e consultoria no TAG é que, com tantas normas e estruturas diferentes, há uma inevitável sobreposição de diretrizes, mandatos, requisitos e melhores práticas. Isto cria um ambiente em que as agências têm de navegar não só pelos requisitos técnicos, mas também pelos relatórios de conformidade, expectativas de governação e avaliações de risco, cada um com os seus próprios prazos e mecanismos de aplicação.

Como se isto não bastasse, a natureza dinâmica das ciberameaças, como os ataques às cadeias de abastecimento e as vulnerabilidades das infra-estruturas críticas, levou a acções legislativas e executivas adicionais, como a Ordem Executiva 14028 sobre a Melhoria da Cibersegurança da Nação, que impõe iniciativas a nível governamental, como a adoção do "Zero Trust" e o reforço da segurança das cadeias de abastecimento de software, frequentemente auditadas por organismos como o Government Accountability Office (GAO).

Tendo em conta este desafio de conformidade regulamentar, a questão mais frequentemente colocada aos analistas do TAG pelas equipas das agências do sector público, tanto a nível federal como local, é a seguinte: Qual é a melhor forma de desenvolver um programa de cibersegurança eficaz que minimize o atrito de lidar com tantas estruturas e normas díspares? A nossa resposta baseia-se em três componentes-chave da estratégia de cibersegurança que consideramos serem os melhores para as equipas do sector público.

Em primeiro lugar, sugerimos vivamente o desenvolvimento de um compromisso com a automatização. As obrigações regulamentares modernas só podem ser cumpridas através de uma disciplina formal de Governação, Risco e Conformidade (GRC). A boa notícia é que estão disponíveis excelentes plataformas comerciais para as equipas governamentais, que podem ser introduzidas em qualquer tipo de programa de conformidade existente, mesmo os executados manualmente, sem grandes problemas.

Em segundo lugar, recomendamos uma abordagem baseada no risco para todas as decisões de segurança. Isto implica ter uma boa compreensão das questões de segurança reais que são diretamente relevantes para essa agência. Talvez o melhor exemplo disto envolva o Microsoft Active Diretory (AD), que consideramos na TAG como sendo talvez o aspeto mais essencial de qualquer programa de risco cibernético. Todas as equipas ofensivas terão como alvo o AD, pelo que os programas federais devem abordar este tipo de risco prático e de base.

Em terceiro lugar, recomendamos que todas as agências do sector público utilizem o Cybersecurity Framework (CSF) do National Institute of Standards and Technology (NIST). Baseia-se num conjunto abrangente de requisitos da Publicação Especial do NIST (SP) 800-53 (rev. 5) e oferece um excelente roteiro para as equipas do sector público melhorarem a sua segurança de forma gradual. E o melhor de tudo é que o NIST CSF se adapta muito bem à infinidade de acrónimos listados anteriormente.

Nas restantes secções, concentramo-nos no NIST CSF, agora na versão 2.0, e defendemos que é uma excelente escolha para basear um programa de conformidade cibernética. Referimo-nos frequentemente à estrutura como oferecendo uma "cobertura geral", porque praticamente todos os requisitos de segurança que encontrámos na variedade de acrónimos são abordados de alguma forma no NIST. Isto torna-o uma boa escolha de base - incluindo para equipas de segurança privadas e não americanas.

O que é o NIST CSF 2.0?

O NIST CSF 2.0, lançado em agosto de 2023, baseia-se na versão original de 2014 (CSF 1.0) para ajudar as organizações a gerenciar e reduzir os riscos de segurança cibernética. A estrutura original incluía cinco funções principais - Identificar, Proteger, Detetar, Responder e Recuperar - que fornecem uma abordagem de ciclo de vida para a segurança cibernética. Muitos programas de segurança cibernética foram organizados em torno dessas funções, embora nossa orientação seja que essa pode não ser a melhor abordagem.

Figura 1. Representação do NIST CSF 1.0

Estas funções do CSF do NIST estão divididas em categorias e subcategorias mais detalhadas, que são mapeadas para referências informativas como as Publicações Especiais do NIST e as normas ISO. O CSF 2.0 mantém a flexibilidade e acessibilidade do seu antecessor, permitindo que organizações de todas as dimensões e indústrias adaptem a sua implementação aos seus ambientes de risco, recursos e objectivos comerciais específicos.

Uma melhoria significativa no CSF 2.0 é o seu maior enfoque na governação como uma nova categoria sob a função "Identificar", abordando a importância da liderança, da estratégia de cibersegurança e das políticas organizacionais na gestão dos riscos cibernéticos. Outra adição importante é a expansão da orientação para a gestão dos riscos da cadeia de fornecimento, reflectindo a importância crescente da gestão de riscos de terceiros na cibersegurança.

O NIST CSF 2.0 também incorpora actualizações para se alinhar com as normas modernizadas do NIST, tais como actualizações aos controlos criptográficos e considerações alargadas para tecnologias emergentes como a nuvem, a inteligência artificial e a tecnologia operacional. Essas mudanças tornam a estrutura mais relevante para o cenário atual de ameaças e os diversos ambientes tecnológicos que as organizações enfrentam agora.

Figura 2. Representação do NIST CSF 2.0

Em comparação com o CSF 1.0, a versão 2.0 tem uma perspetiva mais global, melhorando a sua aplicabilidade às normas e estruturas internacionais, incluindo no sector público, promovendo uma maior interoperabilidade. Também coloca maior ênfase na orientação de implementação, oferecendo recursos melhorados, tais como perfis e exemplos de implementação, para ajudar as organizações a operacionalizar a estrutura de forma eficaz.

Embora o CSF 1.0 tenha fornecido uma base sólida, o CSF 2.0 melhora a estrutura incorporando as lições aprendidas ao longo de quase uma década de adoção, tornando-a mais abrangente, escalável e capaz de abordar os desafios de cibersegurança em evolução enfrentados por todos os tipos de organizações atualmente. Na secção seguinte, vamos analisar o funcionamento do quadro no contexto dos desafios de cibersegurança das agências federais.

Mapeamento dos requisitos cibernéticos federais

A primeira ideia que esperamos ajudar as equipas de conformidade das agências federais a compreender é que as plataformas GRC modernas de bons fornecedores comerciais, como a ServiceNow, a Metric Stream e a Archer, fornecerão apoio automatizado na realização de mapeamentos do NIST CSF 2.0 para outras estruturas. Esta é uma função incrivelmente útil, porque substitui os esforços manuais que muitos de nós nos lembramos de fazer antes de estas plataformas estarem disponíveis.

Dito isto, é útil analisar a forma como o NIST CSF 2.0 apoia a maioria dos requisitos das agências federais. No entanto, a nossa discussão a seguir deve ser analisada de forma concetual, porque nos EUA, com eleições políticas a nível federal e estatal, os requisitos, mandatos e leis cibernéticas aplicáveis mudam rapidamente. As ordens executivas, por exemplo, mudam com o toque de uma caneta, pelo que seria sensato os leitores evitarem procurar mapeamentos microscópicos em relatórios como este.

Com a sua abordagem abrangente à gestão de riscos, o NIST CSF 2.0 alinha-se com as diretivas e normas federais mais importantes, incluindo a Lei Federal de Modernização da Segurança da Informação (FISMA), a Circular A-130 da OMB, a Ordem Executiva (EO) 14028 e as Diretivas Operacionais Vinculativas (BODs) da CISA. Ao integrar esses mandatos em sua estrutura, o CSF 2.0 permite que as agências simplifiquem os esforços de conformidade e fortaleçam sua postura geral de segurança cibernética.

Alinhamento com o FISMA e o NIST SP 800-53

A FISMA, como pedra angular da lei federal de segurança cibernética, exige que as agências federais implementem programas de segurança da informação baseados em riscos. As funções do NIST CSF 2.0 referidas acima - Identificar, Proteger, Detetar, Responder e Recuperar - alinham-sediretamente com a ênfase da FISMA na categorização dos riscos, na implementação de controlos e na realização de monitorização contínua. As equipas de segurança das agências federais beneficiarão deste alinhamento.

A estrutura também mapeia a Publicação Especial do NIST (SP) 800-53, que especifica os controlos de segurança e privacidade que se aplicam diretamente aos sistemas federais. Por exemplo, as melhorias de governação no CSF 2.0 complementam a ênfase do SP 800-53 nas políticas, funções e responsabilidades organizacionais. Ao usar o CSF 2.0 como uma estrutura de nível superior, as agências federais podem garantir que seus programas estejam enraizados nos requisitos detalhados do SP 800-53.

Conformidade com ordens e diretivas executivas

O NIST CSF 2.0 também apoia a conformidade com a Ordem Executiva 14028, que exige melhorias na segurança cibernética federal após violações de alto nível como a da SolarWinds. A EO 14028 enfatiza a arquitetura de confiança zero, a deteção aprimorada de ameaças e o desenvolvimento seguro de software. O foco alargado da estrutura na gestão de riscos da cadeia de fornecimento e nas tecnologias emergentes está alinhado com estas diretivas.

Por exemplo, o CSF 2.0 fornece categorias e subcategorias que abordam a diligência devida do fornecedor, a monitorização contínua e a gestão segura do ciclo de vida do software. Oferece às agências uma forma estruturada de implementar os requisitos do Modelo de Maturidade Zero Trust da CISA e proteger a cadeia de fornecimento de software, conforme exigido pelo EO 14028. (Mais uma vez, lembramos aos leitores que os mandatos EO podem mudar rapidamente, especialmente com as mudanças da Administração Presidencial).

Integração com as diretivas operacionais vinculativas da CISA

As Diretivas Operacionais Vinculativas (BODs) da CISA, como a BOD 22-01 sobre vulnerabilidades exploradas conhecidas, exigem acções atempadas para mitigar riscos específicos. As funções Detetar e Responder do CSF 2.0 permitem às agências operacionalizar estas diretivas através de um melhor planeamento da resposta a incidentes, da deteção proactiva de ciberameaças e de processos de gestão de vulnerabilidades e exposições.

Além disso, a ênfase da estrutura na melhoria contínua alinha-se bem com os requisitos dos BODs para uma ação rápida e mensurável. A abordagem iterativa do NIST CSF 2.0 garante que as agências podem ajustar as suas estratégias em resposta à evolução das diretivas da CISA e da informação sobre ameaças. Nos próximos anos, prevemos no TAG que o aumento significativo das ameaças dos Estados-nação exigirá uma melhor gestão contínua da informação sobre ameaças por parte das agências federais.

Apoio a mandatos de privacidade e proteção de dados

O alinhamento do NIST CSF 2.0 com as estruturas de privacidade, incluindo a Estrutura de Privacidade do NIST e mandatos como a Lei de Privacidade de 1974 e as diretrizes CUI (Informação Não Classificada Controlada), permite às agências gerir os requisitos de proteção de dados em conjunto com os objectivos de cibersegurança. A categoria de governação actualizada aborda explicitamente a necessidade de políticas e controlos que equilibrem a cibersegurança com a privacidade, permitindo às agências cumprir os requisitos de dupla conformidade.

Plano de ação

Esperamos que tenha sido defendido que as agências federais devem considerar seriamente a utilização do NIST CSF 2.0 como a base fundamental para o seu programa de proteção global. Ao mapear as diretivas FISMA, EO 14028, CISA e outros mandatos, o NIST CSF 2.0 oferece às agências federais uma estrutura coesa para unificar a conformidade e, ao mesmo tempo, melhorar a resiliência geral da segurança. Esperamos que esta orientação tenha sido útil - e esperamos sempre ouvir a sua opinião.

Mais recursos