A NIST SP (National Institute of Standards and Technology Special Publication) 800-30 foi desenvolvida pelo NIST para orientar órgãos federais e outras organizações na compreensão dos princípios e metodologias para a condução criteriosa de avaliações de risco. A NIST SP 800-30 oferece uma metodologia sistemática de avaliação de riscos, ajudando organizações a compreender e avaliar o espectro de riscos de suas operações, de ativos, de indivíduos, de outras organizações e do país, decorrentes da operação e do uso de sistemas de informação.
O guia NIST SP 800-30 fornece uma metodologia detalhada para a avaliação de riscos, auxiliando as organizações a decidir que controles de segurança implementar.
Concebida para ser adaptável, a NIST SP 800-30 é um recurso disponível para qualquer organização que busque identificar e avaliar riscos, independentemente de seu porte, setor ou da sofisticação de seus sistemas de informação.
Principais aspectos da NIST SP 800-30
Processo de avaliação de riscos
A NIST SP 800-30 traça um processo estruturado de avaliação de riscos que ajuda as organizações a identificar a probabilidade e o potencial impacto dos riscos em seus sistemas de informação e suas operações. As principais partes do processo de avaliação de riscos da NIST SP 800-30 são:
- Preparação para a avaliação
- Condução da avaliação
- Comunicação dos resultados
- Manutenção da avaliação
Análise do cenário de ameaças e vulnerabilidades
A NIST SP 800-30 oferece uma metodologia detalhada para a identificação de ameaças e vulnerabilidades internas e externas nos sistemas de informação da organização que podem afetar seus sistemas. Desse processo faz parte a análise dos eventos e das fontes de ameaças, bem como das vulnerabilidades que essas ameaças podem explorar.
Avaliação de riscos
A NIST SP 800-30 orienta as organizações na avaliação de riscos, determinando a probabilidade de exploração de uma vulnerabilidade por uma ameaça e avaliando seu impacto potencial. O processo envolve a avaliação dos potenciais efeitos adversos nas operações, nos ativos e no pessoal da organização, caso uma violação ocorra. Esta etapa é fundamental para priorizar as respostas aos riscos e para tomar decisões bem embasadas quanto à segurança.
Gerenciamento de riscos
Uma vez identificados e avaliados os riscos, a NIST SP 800-30 orienta como priorizá-los para correção. Isso requer uma avaliação se os riscos devem ser mitigados, transferidos, aceitos ou evitados e optar por medidas de controle apropriadas para lidar com eles. A mitigação de riscos pode prever a implementação de controles de segurança, a adoção de novas políticas e a realização de monitoramento contínuo a fim de gerenciar riscos residuais.
Documentação e comunicação
Ao longo do processo de avaliação de riscos, a NIST SP 800-30 dá forte ênfase à documentação das descobertas, decisões e ações tomadas em apoio à transparência e à capacidade de repetição do processo. Essa documentação também respalda a atribuição de responsabilidade, possibilitando decisões bem fundamentadas na organização. Além disso, a NIST SP 800-30 destaca a importância da comunicação eficaz dos resultados da avaliação de riscos a todos os stakeholders relevantes, garantindo que todos estejam cientes dos riscos e das medidas implementadas para mitigá-los.
Monitoramento e revisão dos riscos
Ao reconhecer que a avaliação de riscos não é uma atividade isolada, a NIST SP 800-30 destaca a importância do monitoramento contínuo e da revisão periódica dos riscos. Isso garante que sejam levadas em conta mudanças no ambiente organizacional, ameaças emergentes ou novas vulnerabilidades e que as avaliações de riscos permaneçam atualizadas.
Preparando-se para a avaliação de riscos
A preparação para uma avaliação de riscos é uma etapa inicial essencial do processo de gerenciamento de riscos, conforme descrito na norma NIST SP 800-30. Isso garante que a avaliação de riscos seja mais ampla, eficaz e adaptada às necessidades e objetivos específicos da organização. A seguir, estão algumas etapas importantes a serem observadas na preparação para uma avaliação de riscos da NIST SP 800-30.
1. Defina o propósito
Estabeleça claramente os objetivos da avaliação de riscos da NIST SP 800-30, tais como a conformidade com regulamentações, a proteção de dados confidenciais ou a melhoria geral da segurança. Isso orientará o escopo e a profundidade da avaliação.
2. Defina o escopo da avaliação
Estabeleça os parâmetros para a avaliação de riscos, identificando que sistemas, dados e processos serão avaliados. A definição do escopo ajuda a concentrar a avaliação nos ativos mais importantes e torna o processo mais gerenciável e direcionado.
3. Colete as informações relevantes
Colete todas as informações necessárias sobre a infraestrutura tecnológica, softwares, hardwares e processos de negócios da organização antes da avaliação de riscos da NIST SP 800-30, como diagramas de rede, relatórios de avaliação de riscos anteriores e quaisquer requisitos de conformidade relevantes.
4. Forme uma equipe de avaliação de riscos
Forme uma equipe composta de indivíduos com a expertise e o background necessários. Essa equipe deve abranger toda a organização (por exemplo, TI, segurança, jurídico e operações) a fim de garantir que todas as perspectivas relevantes e as necessidades específicas de cada departamento sejam levadas em consideração.
5. Desenvolva a metodologia de avaliação de riscos
Decida os métodos e as ferramentas a usar na identificação e análise de riscos. Isso pode envolver métodos de avaliação de riscos qualitativos ou quantitativos, ou uma combinação de ambos, desde que estejam alinhados com as orientações da NIST SP 800-30, com a tolerância a riscos da organização e com os objetivos da avaliação.
6. Comunique e treine stakeholders e responsáveis
Comunique o propósito, as metodologias, as ferramentas e as técnicas a serem utilizadas na avaliação de riscos da NIST SP 800-30 e forneça treinamento para garantir que stakeholders e participantes compreendam suas funções e responsabilidades no processo de avaliação de riscos.
7. Revise os requisitos legais e regulatórios
Entenda os requisitos de conformidade que afetam a organização a fim de garantir que a avaliação de riscos da NIST SP 800-30 atenda a todas as obrigações, evitando, assim, potenciais problemas jurídicos.
8. Planeje da coleta de dados
Determine como os dados serão coletados, quem os coletará e quais serão as fontes de dados. O planejamento adequado auxilia na coleta de dados precisos e relevantes de forma eficiente e agiliza o processo de avaliação de riscos da NIST SP 800-30.
9. Estabeleça um cronograma realista
Estabeleça cronogramas realistas para a conclusão da avaliação de riscos da NIST SP 800-30. Considere prazos para determinados objetivos, especialmente se requisitos regulatórios ou de conformidade externos orientarem a avaliação.
Realizando a avaliação de riscos
A realização de uma avaliação de riscos envolve um processo sistemático no qual uma organização identifica, analisa e avalia os riscos que enfrenta. Isso é essencial para estabelecer estratégias eficazes para o gerenciamento e a mitigação desses riscos. A seguir, um resumo de como o processo normalmente é conduzido, seguindo rigorosamente as orientações da NIST SP 800-30.
Avaliação de possíveis ameaças
Reconheça possíveis ameaças que colocam em risco os ativos digitais de uma organização:
- Ameaças humanas: intencionais (por exemplo, ataques cibernéticos ou roubo) ou não intencionais (por exemplo, erro acidental na entrada de dados ou perda de informações confidenciais).
- Ameaças naturais: inundações, terremotos e outros eventos ambientais.
- Ameaças tecnológicas: falhas de sistema, bugs de software e interrupção do serviço de provedores
Identificação de vulnerabilidades
Realize varreduras e auditorias de vulnerabilidades para detectar falhas nos sistemas e processos da organização que possam levar a incidentes de segurança. O processo deverá compreender uma revisão das políticas, procedimentos e controles de segurança da organização.
Avaliação da probabilidade e do impacto
Avalie a probabilidade de mobilização de cada ameaça identificada e de exploração das vulnerabilidades. Classifique a probabilidade como alta, média ou baixa, com base no potencial de prejuízo financeiro, danos à reputação, interrupção operacional e implicações legais. Durante esse processo, considere os impactos diretos e indiretos com o auxílio de:
- Resoluções sobre a eficácia dos controles existentes;
- Pareceres de especialistas;
- Dados históricos;
- Informações de recursos e os fatores motivadores das fontes de ameaças;
- Análise de tendências.
Cálculo do risco
Alie a probabilidade de ocorrência ao nível de impacto para descobrir qual é o risco geral. É possível quantificar isso por meio de uma matriz de risco para prever possíveis impactos, como perda monetária esperada, ou descrever qualitativamente com base em critérios definidos, usando medidas como “baixo”, “médio” e “alto”.
Priorização dos riscos
Classifique os riscos de acordo com sua gravidade e com a forma como correspondem à capacidade da organização de enfrentá-los. Esta etapa concentra recursos e esforços nos riscos mais críticos. Decida se aceita, evita, transfere ou mitiga cada risco, dependendo das políticas de gerenciamento de riscos da organização.
Identificação e avaliação dos controles atuais
Analise as medidas e controles de segurança existentes para determinar sua eficácia na redução de vulnerabilidades e mitigação de riscos. Procure falhas de controle, nas quais as medidas atuais sejam insuficientes.
Desenvolvimento de estratégias adicionais de mitigação
Para riscos com níveis inaceitáveis, após avaliar os controles existentes, identifique estratégias adicionais de mitigação. Essas estratégias podem incluir a melhoria dos controles de segurança, a implementação de novas medidas de segurança, o investimento em novos recursos de tecnologia, a mudança de práticas operacionais ou a aceitação ou a transferência do risco. Fazer uma análise de custo-benefício pode ajudar a decidir que estratégias de mitigação adotar.
Documentação e emissão de relatórios
Documente todas as constatações durante a avaliação de riscos da NIST SP 800-30, incluindo os riscos identificados, a probabilidade e o impacto deles, os controles existentes e as medidas adicionais de mitigação recomendadas. A documentação deve ser clara e detalhada, pois servirá como registro para as decisões e as necessidades de conformidade. Prepare um relatório de avaliação de riscos que comunique os resultados aos stakeholders, inclusive à gerência e aos interessados externos, se necessário.
Comunicando as informações da avaliação de riscos
É fundamental comunicar as informações relativas a uma avaliação de riscos da NIST SP 800-30. Isso garante que os stakeholders sejam informados sobre os riscos enfrentados pela organização. Entre algumas recomendações para uma comunicação eficaz, que ajudam a diminuir a distância entre a identificação dos riscos e a tomada de medidas para mitigá-los, estão:
Conhecimento do público-alvo
Adapte a comunicação ao nível de conhecimento e aos interesses do seu público. Isso ajuda a garantir que as informações tenham relevância e sejam compreensíveis. Por exemplo, a equipe técnica pode precisar de informações detalhadas sobre vulnerabilidades e controles, enquanto o grupo executivo pode estar mais interessado no impacto nos objetivos de negócios e na postura geral de risco.
Uso de uma linguagem clara e concisa
Ao descrever os riscos, suas consequências e as medidas de mitigação sugeridas, é importante usar uma linguagem direta e clara. Evite termos técnicos ou jargões que possam confundir o público. Se o uso de termos técnicos for inevitável, forneça uma definição de forma breve e clara.
Transparência sobre as incertezas
Embora as avaliações de risco frequentemente envolvam incertezas, seja transparente sobre elas, incluindo as limitações dos dados e eventuais suposições feitas durante a avaliação.
Ênfase nas principais constatações e recomendações
Inicie a comunicação com um resumo das constatações mais graves e das ações recomendadas. Isso assegura a transmissão das mensagens principais mesmo que o destinatário não leia todo o documento ou não assista a toda a apresentação.
Use listas e marcadores para destacar as principais constatações e recomendações. Sempre que possível, indique sugestões para mitigar o risco ou responder a ele, a fim de informar ainda mais o público.
Uso de recursos visuais
Use recursos visuais para complementar a comunicação escrita ou falada, não para substituí-la. Certifique-se de que sejam visíveis e devidamente identificados.
Gráficos, tabelas e matrizes são recursos visuais eficazes para comunicar informações complexas. Por exemplo, uma matriz de riscos pode ser usada para demonstrar a gravidade e a probabilidade de vários riscos.
Uso de vários canais
Transmita as informações por diversos canais a fim de alcançar um público mais amplo e acomodar diferentes preferências de recebimento de informações. São sugestões de canais de comunicação as mídias sociais, boletins informativos, sistemas de colaboração interna, apresentações e relatórios.
Fornecimento de contexto e justificativa
Forneça contexto para os riscos identificados, comparando-os aos riscos mais familiares ou explicando o possível impacto em termos concretos. Isso ajuda o público a se identificar e a compreender a gravidade e a relevância do risco.
Explique por que certos riscos são considerados mais significativos do que outros, com base em sua probabilidade e impacto potencial. Além disso, a justificativa para as estratégias de mitigação recomendadas, bem como eventuais alternativas ou fatores que foram levados em consideração, deve ser compartilhada.
Incentivo ao feedback e ao diálogo
Deixe claro que o feedback é bem-vindo e forneça canais para recebê-lo. No entanto, os destinatários de perguntas ou comentários precisam estar preparados para abordar dúvidas e mal-entendidos, bem como para fornecer esclarecimentos adicionais sempre que necessário.
Incentivar o diálogo pode revelar insights adicionais e promover uma cultura de responsabilidade comum pelo gerenciamento de riscos. Ofereça meios pelos quais o público faça perguntas ou expresse suas preocupações. Certifique-se de acompanhar a comunicação para garantir que as informações tenham sido recebidas, compreendidas e implementadas como se deve.
Manutenção da avaliação de riscos
Manter um processo eficaz de avaliação de riscos envolve a sua atualização frequente, de modo a refletir novas informações, mudanças nas circunstâncias e lições aprendidas com experiências anteriores. A seguir, algumas considerações para a manutenção eficaz dos esforços de avaliação de riscos.
- Adapte-se às mudanças: Adaptar proativamente a estratégia de avaliação de riscos para que incorpore novas ameaças ou mudanças nas condições operacionais, que podem decorrer de avanços tecnológicos, alterações jurídicas ou nas operações da empresa.
- Conduza revisões regulares: Programe revisões regulares das métricas e processos de avaliação de riscos. A frequência deve basear-se na natureza do risco, em mudanças no ambiente ou após eventos significativos que lhes sejam relacionados.
- Melhoria contínua: Avalie os riscos e os processos de avaliação de riscos para implementar melhorias com base no desempenho, no feedback e nas mudanças de circunstâncias.
- Documente todas as alterações: Mantenha registros detalhados de todas as alterações feitas na avaliação de riscos, incluindo os motivos para as alterações. Essa documentação é fundamental para entender a evolução das estratégias de gerenciamento de riscos e na defesa de decisões durante auditorias ou inspeções.
- Envolva os stakeholders: Mantenha um envolvimento contínuo dos stakeholders (funcionários, clientes, comunidades locais e órgãos reguladores) para coletar insights e feedback. O feedback desses stakeholders pode trazer novas perspectivas e dados que, de outra forma, não estariam disponíveis.
- Estabeleça métricas de desempenho: Desenvolva um conjunto de métricas para a eficácia do processo de gerenciamento de riscos. Poderão compô-las a frequência de incidentes, os tempos de resposta e os custos que envolvem os riscos e sua mitigação.
- Incorpore novos dados:À medida que são disponibilizados, novos dados devem ser integrados aos processos de avaliação de riscos e às iniciativas de mitigação, o que pode exigir mudanças de tecnologia, novas pesquisas científicas ou atualizações do monitoramento contínuo do risco. Também deve incluir insights obtidos com as atividades de resposta a incidentes a fim de refinar os esforços contínuos de avaliação de riscos. Por exemplo, se ocorrer um incidente de segurança, analise-o para entender como os riscos associados foram avaliados anteriormente e se o incidente indica a necessidade de ajustar as classificações de risco ou os controles.
- Conte com o uso de tecnologias: Utilize tecnologia e ferramentas de software próprias para o gerenciamento de riscos. Essas ferramentas podem ajudar a analisar dados complexos, rastrear alterações e fornecer alertas quando determinados limites forem atingidos.
Perguntas frequentes relativas à NIST SP 800-30
A seguir estão respostas para algumas das perguntas mais frequentes relativas à NIST SP 800-30:
O que é a NIST SP 800-30?
A NIST SP 800-30 (National Institute of Standards and Technology Special Publication), Guide for Conducting Risk Assessments, é uma ferramenta poderosa que fornece orientações completas sobre como conduzir avaliações de risco em sistemas e organizações de informação federais. A NIST SP 800-30 faz parte da série mais ampla NIST 800, que se destina à promoção da segurança de sistemas e redes de informação.
Quem deve cumprir a NIST SP 800-30?
A NIST SP 800-30 foi desenvolvida para órgãos federais dos EUA, a fim de auxiliá-los na realização de avaliações de risco para seus sistemas de informação. No entanto, ela tem sido amplamente adotada por organizações do setor privado, governos estaduais e municipais, e por contratadas que trabalham com órgãos federais visando ao alinhamento de suas práticas de gestão de risco.
Qual a relação da NIST SP 800-30 com a gestão de riscos de segurança cibernética?
A orientação NIST SP 800-30 faz parte da NIST Risk Management Framework (RMF, Estrutura de Gerenciamento de Risco), uma estratégia mais ampla, criada para ajudar as organizações a gerenciar e a mitigar os riscos associados aos seus sistemas de informação. O processo sistemático dessa estratégia tem como objetivo identificar, estimar e priorizar riscos de segurança da informação, um componente essencial de uma estratégia mais ampla de gerenciamento de riscos de segurança cibernética. A NIST SP 800-30 auxilia as organizações a calcular o impacto de potenciais ameaças à segurança e a estabelecer respostas a riscos que sejam apropriadas à proteção de seus sistemas de informação e dados.
O que são as famílias de controle da NIST SP 800-30?
A NIST SP 800-30 fornece uma lista completa de controles de segurança e privacidade personalizados para organizações federais e seus sistemas de informação. Os controles da NIST SP 800-30 são organizados em famílias, onde cada uma delas agrupa tipos específicos de controles afins. Essas famílias de controle ajudam a organizar a ampla gama de medidas de segurança e privacidade em grupos gerenciáveis e afins, facilitando sua implementação e avaliação pelas organizações.
O valor da NIST SP 800-30
As organizações podem obter amplos benefícios com a NIST SP 800-30, pois ela serve como um guia completo, que não apenas as auxilia na realização de avaliações minuciosas de risco, mas facilita a integração desses esforços em suas práticas mais amplas de segurança e gerenciamento de riscos. Ao seguir as diretrizes da NIST SP 800-30, as organizações podem se proteger melhor contra ameaças potenciais e garantir a confidencialidade, a integridade e a disponibilidade de seus sistemas de informação.
