A estrutura de gerenciamento de risco (RMF) é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, protegidos e monitorados.
Originalmente desenvolvido pelo Departamento de Defesa (DoD), o RMF foi adotado pelo restante dos sistemas de informações federais dos Estados Unidos em 2010. Hoje, o Instituto Nacional de Padrões e Tecnologia (NIST) mantém e fornece uma base sólida para qualquer estratégia de segurança de dados.
O gerenciamento de risco baseia-se em vários quadros anteriores de gestão de riscos e inclui diversos processos e sistemas independentes. Isso exige que as empresas implementem sistemas seguros e governança de dados e realizem a modelação de ameaças para identificar áreas de risco cibernético.
Neste guia, mostraremos tudo o que você precisa saber sobre o RMF, dividindo os componentes da estrutura em algumas seções:
O conceito geral de “gerenciamento de risco” e de “quadro de gerenciamento de risco” pode parecer muito semelhante, mas é importante compreender a distinção entre os dois.
O processo de gerenciamento de risco é especificamente detalhado pelo NIST em diversas estruturas subsidiárias. O mais importante é o intitulado “NIST SP 800-37 Rev. 1”, que define o RMF como um processo de seis etapas para arquitetar e projetar um processo de segurança de dados para novos sistemas de TI e sugere melhores práticas e procedimentos de cada agência federal deve seguir ao ativar o novo sistema.
Além do documento primário SP 800-37, a estrutura de gerenciamento de risco utiliza os documentos suplementares SP 800-30, SP 800-53, SP 800-53 A e SP 800-137:
Ao começar a usar a estrutura de gerenciamento de risco, pode ser útil dividir os requisitos de gestão de riscos em diferentes categoriais. Essas categorias fornecem uma maneira de trabalhar em direção a um sistema de gerenciamento de risco eficaz, desde a identificação dos riscos mais críticos até como mitigá-los.
A primeira, e provavelmente mais importante parte do RMF é realizar a identificação de riscos. O NIST afirma que “os fatores de risco típicos incluem ameaça, vulnerabilidade, impacto, probabilidade e propensão”. Durante esta etapa, você fará um brainstorming de todos os possíveis riscos que podem imaginar em todos os seus sistemas e, em seguida, priorizá-los usando diferentes fatores:
Depois de identificar as ameaças, vulnerabilidades, impacto, probabilidade e propensão, é possível calcular e classificar os riscos que sua organização pode enfrentar.
As organizações pegam a lista de classificação anterior e começam a descobrir como mitigar ameaças, da maior para a menor. Em algum ponto da lista, a empresa pode decidir que não vale a pena abordar riscos abaixo de um determinado nível, seja porque há pouca probabilidade de ocorrer ou porque há muitas ameaças mais importantes para gerenciar imediatamente.
A RMF exige que as organizações mantenham uma lista e monitorem os riscos conhecidos para conformidade. As estatísticas sobre violações de dados indicam que muitas empresas ainda não comunicam todos os ataques bem-sucedidos a que estão expostas, o que poderia afetar os seus pares.
Finalmente, todas as etapas acima devem ser codificada em um sistema de governança de risco.
RMF: Passo a passo
Passo 1: Categorizar o sistema de informação
Passo 2: Selecionar os controles de segurança
Passo 3: Implementar controles de segurança
Passo 4: Acessar os controles de segurança
Passo 5: Autorizar o sistema de informação
Passo 6: Monitorar os controles de segurança
No nível mais amplo, o RMF exige que as empresas identifiquem a quais riscos de sistemas e dados estão expostas e implementem medidas razoáveis para mitigá-los. O RMF divide estes objetivos em seis passos interligados.
Referências: Publicação FIPS 199, Padrões para Categorização de Segurança de Informações Federais e Sistemas de Informação; Mapeamento de Tipos de Informação e Sistemas de Informação para Categoria de Segurança.
Selecione os controles de segurança apropriados na publicação NIST 800-53 para “facilitar uma abordagem mais consistente, comparável e repetitivo para selecionar e especificar controles de segurança para sistemas”.
Referências: Publicação Especial 800-53 Controles de Segurança e Privacidade para Sistemas e Organizações de Informação Federal. Nota do editor: observe que a versão atualizada do 800-53 entrou em vigor em 23 de setembro de 2021.
Coloque em prática os controles selecionados na etapa anterior e documente todos os processos e procedimentos necessários para manter sua operação.
Referências: Várias publicações fornecem práticas recomendadas para implementar controles de segurança. Acesse essa página para ver.
Certifique-se de que os controles de segurança implementados estejam funcionando da maneira necessária para que possa limitar os riscos à operação e aos dados.
Os controles de segurança estão funcionando corretamente para reduzir o risco para a organização? Então o controle nesse sistema está autorizado! Parabéns!
Referências: Publicação Especial 800-37 Rev. 2 Estrutura de Gerenciamento de Riscos para Sistemas e Organizações de Informação: Uma Abordagem de Ciclo de Vida de Sistema para Segurança e Privacidade
Monitore e avalie continuamente a eficácia dos controles de segurança e faça alterações durante a operação para garantir a eficácia desses sistemas. Documente quaisquer alterações, conduza análises de impacto regulares e relate o status dos controles de segurança aos funcionários designados.
Referências: Publicação Especial 800-37 Rev. 2 Estrutura de Gerenciamento de Risco para Sistemas e Organizações de Informação: Uma Abordagem de Ciclo de Vida de Sistema para Segurança e Privacidade
Embora a estrutura de gerenciamento de risco seja um requisito para as empresas que trabalham com o governo dos EUA, a implementação de um sistema de gestão de riscos pode beneficiar qualquer organização. O objetivo final de trabalhar em direção à conformidade com o RMF é a criação de um sistema de governança de dados e ativos que fornecerá proteção de espectro total contra todos os riscos cibernéticos enfrentados pela organização.
Mais especificamente, o desenvolvimento de uma estrutura prática de gestão de riscos proporciona à empresa vários benefícios específicos:
Uma estrutura de gestão de riscos eficaz deve priorizar a compreensão dos riscos que uma empresa enfrenta para tomar as medidas necessárias para proteger seus ativos e seus negócios. Isso significa que uma estrutura abrangente de gerenciamento de riscos ajuda a proteger dados e ativos.
A gestão de reputação é uma parte essencial das práticas empresariais modernas, e limitar as consequências prejudiciais dos ataques cibernéticos é parte integrante da garantia que a reputação está protegida. Os consumidores estão cada vez mais conscientes da importância da privacidade dos dados, não apenas porque as leis de privacidade estão se tornando mais rigorosas. Uma violação de dados prejudica a reputação de uma empresa, por isso, uma estrutura eficaz de gerenciamento de risco pode ajudar a analisar rapidamente as lacunas nos controles de nível empresarial e a desenvolver um roteiro para reduzir ou evitar riscos de reputação.
Quase todas as empresas possuem propriedade intelectual que deve ser protegida, e uma estrutura de gerenciamento de risco se aplica tanto a essa propriedade quanto aos seus dados e ativos. Se a empresa vender, oferecer, distribuir ou fornecer um produto, ou serviço que proporcione uma vantagem competitiva, ela está exposta a um possível roubo de Propriedade Intelectual. Uma estrutura de gerenciamento de risco ajuda a proteger contra potenciais perdas de vantagem competitiva, oportunidades de negócios e até mesmo riscos legais.
Finalmente, o desenvolvimento de uma estrutura de gerenciamento de risco pode ter impactos benefícios na operação fundamental dos negócios. Ao catalogar os riscos que enfrenta e tomar medidas para os mitigar, estará também reunindo uma riqueza de informações valiosas sobre o mercado em que a organização atua, e isto, por si só, pode fornecer uma grande vantagem sobre seus pares.
A regulamentação do NIST e a RMF e, na verdade, muitos dos padrões de segurança de dados e regulamentos de conformidade, têm três áreas em comum:
A Varonis Data Security Platform permite que as organizações gerenciem, e automatizem, muitas recomendações requisitos da RMF.
O DatAdvantage e o Data Classification Engine identificam dados confidenciais em armazenamento de dados principais e mapeiam permissões de usuários, grupos e pastas para que seja possível identificar onde estão os dados confidenciais e quem pode acessá-los. Saber quem tem acesso aos dados é um componente chave da fase de avaliação de risco, definida na NIST SP 800-53.
A análise de segurança de dados ajuda a atender ao requisito NIST SP 800-53 para monitorar constantemente seus dados. Para isso, a Varonis analisa bilhões de eventos de atividade de acesso a dados, atividade de VPN, DNS, proxy e Active Directory e cria automaticamente perfis comportamentais para cada usuário e dispositivo. Os modelos de ameaças baseados em aprendizado de máquina identificam proativamente comportamentos anormais e ameaças potenciais, como ransomware, malware, ataques de força bruta e ameaças internas.
O NIST SP 800-137 estabelece diretrizes para proteger os dados e exige que a organização atenda a um modelo de privilégio mínimo. O DatAdvantage surge onde os usuários têm acesso que talvez não precisem mais. O Automation Engine pode limpar permissões e remover grupos de acesso global automaticamente. O DataPrivilege simplifica o gerenciamento de permissões e acessos, designando proprietários de dados e automatizando revisões de direitos.
Embora a estrutura de gerenciamento de risco seja complexa na superfície, em última análise, é uma abordagem lógica e prática para boas práticas de segurança de dados — veja como a Varonis pode ajudar a atender às diretrizes NIST SP 800-37 RMF.
Trabalhar em prol da conformidade com o RMF não é apenas um requisito para empresas que trabalham com o governo dos EUA. Ao implementar uma estratégia de avaliação e governança de riscos de forma eficaz, ela também pode proporcionar muitos benefícios operacionais.
O foco principal da estrutura de gerenciamento de risco deve ser a integridade dos dados, porque as ameaças a eles provavelmente serão as mais críticas que uma organização irá enfrentar.
Agende uma sessão de demonstração para tirar suas dúvidas e entender se a plataforma Varonis é a ideal para sua empresa.