Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

A abordagem da cibersegurança é composta por cinco componentes:

- Identificar
- Proteger
- Detetar
- Responder
- Recuperar

Identificar

Gestão de activos

Todos os elementos que ajudam a organização a atingir os seus objectivos empresariais, tais como dados, pessoal, equipamento, sistemas e instalações, são identificados e geridos. Isto é feito com base na sua importância relativa para os objectivos empresariais e a estratégia de risco da organização.

  • Os dispositivos e sistemas físicos da organização são inventariados.
  • As plataformas e aplicações de software da organização são inventariadas.
  • Os fluxos de comunicação e de dados no interior da organização são cartografados.
  • Os sistemas de informação externos são catalogados.
  • Os recursos como hardware, dispositivos, dados e software são classificados por ordem de prioridade de acordo com a sua classificação e valor comercial.
  • São definidas as funções e responsabilidades em matéria de cibersegurança para todo o pessoal e partes interessadas externas, como fornecedores, clientes e parceiros.

Ambiente empresarial

A missão, os objectivos, as partes interessadas e as actividades da organização são claramente compreendidos e classificados por ordem de prioridade. Esta informação é utilizada para tomar decisões informadas sobre as funções, responsabilidades e gestão do risco da cibersegurança.

  • O papel da organização na cadeia de abastecimento é identificado e comunicado.
  • A posição da organização na infraestrutura crítica e no sector empresarial é identificada e partilhada.
  • As prioridades relativas à missão, objectivos e actividades da organização são identificadas e comunicadas.
  • São identificadas as dependências e as funções críticas para a prestação de serviços essenciais.
  • São identificados os requisitos de resiliência para apoiar a prestação de serviços críticos.

Governação

A organização compreende e gere as suas políticas, procedimentos e processos para cumprir e supervisionar os requisitos regulamentares, legais, de risco, ambientais e operacionais. Estes elementos constituem a base da gestão dos riscos de cibersegurança.

  • A política de segurança da informação da organização é estabelecida.
  • As funções e responsabilidades da segurança da informação são coordenadas e alinhadas com as funções internas e os parceiros externos.
  • A organização compreende e actua de acordo com os requisitos legais e regulamentares da cibersegurança, incluindo as obrigações em matéria de privacidade e liberdades civis.
  • Os processos de governação e de gestão dos riscos estão especificamente orientados para a gestão dos riscos de cibersegurança.

Avaliação dos riscos

A organização compreende os riscos de cibersegurança que podem afetar as suas operações (incluindo missão, funções, imagem ou reputação), activos e pessoas.

  • As vulnerabilidades dos activos são identificadas e documentadas.
  • As informações sobre ameaças e vulnerabilidades são obtidas em fóruns e fontes de partilha de informações.
  • As ameaças, tanto internas como externas, são identificadas e documentadas.
  • O potencial impacto comercial e a probabilidade são identificados.
  • As ameaças, as vulnerabilidades, as probabilidades e o impacto são utilizados para avaliar o risco.
  • As medidas de risco são identificadas e classificadas por ordem de prioridade.

Estratégia de gestão do risco

A organização estabelece as suas prioridades, restrições, tolerâncias ao risco e pressupostos para apoiar as decisões relativas ao risco operacional.

  • Os processos de gestão do risco são estabelecidos, geridos e aprovados pelas partes interessadas da organização.
  • A tolerância ao risco da organização é determinada e claramente articulada.
  • A organização determina a sua tolerância ao risco com base no seu papel na infraestrutura crítica e na análise de risco específica do sector.

Proteger

Controlo do acesso

O acesso aos activos e às instalações associadas é limitado a utilizadores, processos ou dispositivos autorizados e apenas a actividades e transacções autorizadas.

  • As identidades e credenciais são geridas para dispositivos e utilizadores autorizados.
  • O acesso físico aos activos é gerido e protegido.
  • O acesso remoto é gerido.
  • Os direitos de acesso são geridos de acordo com os princípios do menor privilégio e da separação de funções.
  • A integridade da rede é protegida, incluindo a segregação da rede, quando necessário.

Consciencialização

O pessoal e os parceiros da organização são informados e recebem formação sobre cibersegurança, de modo a poderem desempenhar as suas funções e responsabilidades em matéria de segurança da informação de acordo com as políticas, procedimentos e acordos aplicáveis.

  • Todos os utilizadores estão bem informados e receberam formação adequada.
  • Os utilizadores autorizados têm uma compreensão clara das suas funções e responsabilidades.
  • As partes interessadas externas, tais como fornecedores, clientes e parceiros, estão conscientes das suas funções e responsabilidades.
  • Os gestores de topo compreendem as suas funções e responsabilidades.
  • Os funcionários responsáveis pela segurança física e da informação conhecem as suas funções e responsabilidades.

Segurança dos dados

As informações e os dados são geridos de acordo com a estratégia de risco da organização para garantir a confidencialidade, a integridade e a disponibilidade.

  • Os dados em repouso são protegidos.
  • Os dados em trânsito são protegidos.
  • Os activos são formalmente geridos durante a eliminação, transferência e alienação.
  • É mantida uma capacidade suficiente para garantir a disponibilidade.
  • São adoptadas medidas para evitar violações de dados.
  • São aplicados mecanismos de controlo da integridade para verificar a integridade do software, do firmware e da informação.
  • Os ambientes de desenvolvimento e teste são separados do ambiente de produção.

Processos e procedimentos de segurança da informação.

As políticas, processos e procedimentos de segurança são mantidos e aplicados para gerir eficazmente a proteção dos sistemas e bens de informação. Isto inclui diretrizes sobre o objetivo, âmbito, funções, responsabilidades, envolvimento da gestão e coordenação entre unidades organizacionais.

  • É estabelecida e mantida uma configuração básica para as tecnologias da informação e os sistemas de controlo industrial.
  • É implementado um ciclo de desenvolvimento de sistemas para a gestão de sistemas.
  • As alterações de configuração são controladas através de processos.
  • As cópias de segurança da informação são criadas, mantidas e testadas periodicamente.
  • As políticas e regulamentos para o ambiente operacional físico da organização são cumpridos.
  • Os dados são destruídos de acordo com a política adoptada.
  • Os processos de segurança são continuamente melhorados.
  • A eficácia das tecnologias de proteção é partilhada com as partes adequadas.
  • Existem planos de resposta (resposta a incidentes e continuidade das actividades) e planos de recuperação (recuperação de incidentes e recuperação de desastres).
  • Recuperação de incidentes e recuperação de desastres) são implementados e geridos.
  • Os planos de resposta e de recuperação são testados.
  • A cibersegurança é incluída nas políticas de recursos humanos, como a seleção do pessoal.
  • É desenvolvido e aplicado um plano de gestão das vulnerabilidades.

Manutenção

A manutenção e a reparação dos componentes dos sistemas de controlo industrial e de informação são efectuadas de acordo com as políticas e os procedimentos estabelecidos.

  • A manutenção e a reparação dos bens da organização são efectuadas e documentadas atempadamente, utilizando ferramentas aprovadas e controladas.
  • A manutenção remota dos activos operacionais é aprovada, registada e realizada de forma a impedir o acesso não autorizado.

Tecnologia de proteção

As soluções de segurança técnica são geridas para garantir a segurança e a resiliência dos sistemas e dos activos, em conformidade com as políticas, os procedimentos e os acordos.

  • Os ficheiros de auditoria e de registo são estabelecidos, documentados, implementados e avaliados de acordo com a política.
  • Os suportes amovíveis são protegidos e a sua utilização restringida de acordo com a política.
  • O acesso aos sistemas e activos é controlado utilizando o princípio da funcionalidade mínima.
  • As redes de comunicação e de controlo estão protegidas.

Detetar

Anomalias e eventos

As anomalias são detectadas atempadamente e o potencial impacto dos eventos é compreendido.

  • É estabelecida e gerida uma linha de base da atividade da rede e dos fluxos de dados esperados para utilizadores e sistemas.
  • Os eventos detectados são analisados para compreender os alvos e os métodos de ataque.
  • Os dados dos eventos são recolhidos e correlacionados a partir de múltiplas fontes e sensores.
  • O impacto dos eventos é avaliado e são definidos limiares para alertas de incidentes.

Monitorização contínua da segurança

O sistema de informação e os activos são monitorizados periodicamente para identificar eventos de cibersegurança e verificar a eficácia das medidas de proteção.

  • A rede é monitorizada para detetar possíveis eventos de cibersegurança.
  • O ambiente físico é monitorizado para detetar possíveis eventos de cibersegurança.
  • As actividades do pessoal são controladas para detetar possíveis eventos de cibersegurança.
  • É detectado código malicioso.
  • Deteção de código móvel não autorizado.
  • As actividades dos prestadores de serviços externos são controladas para detetar possíveis eventos de cibersegurança.
  • O pessoal não autorizado, as ligações não autorizadas, os dispositivos não autorizados e o software não autorizado são monitorizados.
  • São efectuadas análises de vulnerabilidades.

Processos de deteção

Os processos e procedimentos de deteção são mantidos e testados para garantir um conhecimento atempado e adequado dos eventos anómalos.

Responder

Planeamento da resposta

Os processos e procedimentos de resposta são implementados e mantidos para garantir uma resposta rápida a eventos de cibersegurança detectados.

  • O plano de resposta é ativado durante ou após um evento.

Comunicação

As actividades de resposta são coordenadas com as partes interessadas internas e externas, incluindo o apoio externo das autoridades policiais, se necessário.

  • O pessoal conhece as suas funções e a sequência das operações durante uma resposta.
  • Os eventos são comunicados de acordo com os critérios estabelecidos.
  • A informação é partilhada de acordo com os planos de resposta.
  • A coordenação com as partes interessadas é efectuada de acordo com os planos de resposta.
  • A partilha voluntária de informações com as partes interessadas externas promove um conhecimento mais amplo da situação em matéria de cibersegurança.

Análise

É efectuada uma análise exaustiva para garantir uma resposta adequada e apoiar as actividades de recuperação.

  • Investigação dos relatórios dos sistemas de deteção: Todos os relatórios dos sistemas de deteção de segurança são cuidadosamente investigados para determinar a natureza e a gravidade do incidente.
  • Compreensão do impacto do incidente: As consequências e o âmbito do incidente são totalmente compreendidos para avaliar o impacto na organização.
  • Investigação forense: É efectuada uma investigação forense completa para determinar a causa, os métodos e a extensão do incidente.
  • Categorização dos incidentes de acordo com os planos de resposta:
  • Os incidentes são classificados de acordo com planos de resposta pré-estabelecidos para garantir uma resposta estruturada e eficiente.

Mitigação

São tomadas medidas para impedir a propagação de um evento, minimizar o seu impacto e eliminar completamente o incidente.

  • Contenção de incidentes: São tomadas medidas para impedir imediatamente a propagação do incidente e evitar danos adicionais.
  • Mitigação de incidentes: São tomadas medidas para reduzir o impacto e os danos causados pelo incidente.
  • Gestão de novas vulnerabilidades: As vulnerabilidades recentemente identificadas são tratadas atenuando-as ou, se necessário, documentando-as como um risco aceite.

Melhorias

As actividades de resposta da organização são optimizadas através da aprendizagem com as experiências de deteção e resposta actuais e anteriores.

  • Integração das lições aprendidas nos planos de resposta:
  • Os planos de resposta são adaptados e melhorados com base em conhecimentos e lições aprendidas com incidentes e respostas anteriores.
  • Atualização das estratégias de resposta: As estratégias de resposta a incidentes são actualizadas para responder de forma mais eficaz e eficiente a futuros incidentes com base nas lições aprendidas.

Restaurar

Planeamento da recuperação

Os processos e procedimentos de recuperação são implementados e mantidos para garantir a recuperação atempada dos sistemas ou activos afectados por incidentes de cibersegurança.

  • Implementação do plano de recuperação: O plano de recuperação é implementado durante ou imediatamente após um incidente para retomar as operações normais o mais rapidamente possível.

Melhorias

O planeamento e os processos de recuperação são optimizados através da incorporação das lições aprendidas em actividades futuras.

  • Incorporação das lições aprendidas nos planos de recuperação:
  • Os planos de recuperação são adaptados e melhorados com base em conhecimentos e experiências de actividades de recuperação anteriores.
  • Atualização das estratégias de recuperação: As estratégias de recuperação são actualizadas para garantir uma recuperação mais eficaz e eficiente em futuros incidentes.

Comunicação

As actividades de recuperação são coordenadas com as partes internas e externas, incluindo os centros de coordenação, os fornecedores de serviços Internet, os proprietários dos sistemas atacantes, as vítimas, outras CSIRT e os fornecedores.

  • Gestão das relações públicas: a comunicação com o mundo exterior é cuidadosamente gerida para proteger a reputação da organização.
  • Recuperação da reputação após um incidente: São tomadas medidas activas para restaurar a confiança e a reputação da organização após um incidente de segurança.
  • Comunicação das actividades de recuperação: As informações sobre as actividades de recuperação são partilhadas com as partes interessadas internas, incluindo as equipas executivas e de gestão, para as manter informadas sobre os progressos e os resultados.

System.InvalidCastException: Unable to cast object of type 'System.Xml.XmlDocument' to type 'System.Xml.XmlElement'.
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.DetermineRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.GetRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.Routing.DefaultUrlProvider.GetUrl(UmbracoContext umbracoContext, Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Routing.UrlProvider.<>c__DisplayClass16_0.<GetUrl>b__0(IUrlProvider provider)
   at System.Linq.Enumerable.WhereSelectArrayIterator`2.MoveNext()
   at System.Linq.Enumerable.FirstOrDefault[TSource](IEnumerable`1 source, Func`2 predicate)
   at Umbraco.Web.Routing.UrlProvider.GetUrl(Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text, UrlProvider urlProvider)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text)
   at ASP._Page_Views_Partials_grid_editors_rte_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Rte.cshtml:line 5
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy()
   at System.Web.Mvc.WebViewPage.ExecutePageHierarchy()
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy(WebPageContext pageContext, TextWriter writer, WebPageRenderingBase startPage)
   at System.Web.Mvc.RazorView.RenderView(ViewContext viewContext, TextWriter writer, Object instance)
   at System.Web.Mvc.BuildManagerCompiledView.Render(ViewContext viewContext, TextWriter writer)
   at Umbraco.Core.Profiling.ProfilingView.Render(ViewContext viewContext, TextWriter writer)
   at System.Web.Mvc.HtmlHelper.RenderPartialInternal(String partialViewName, ViewDataDictionary viewData, Object model, TextWriter writer, ViewEngineCollection viewEngineCollection)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model, ViewDataDictionary viewData)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model)
   at ASP._Page_Views_Partials_grid_editors_base_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Base.cshtml:line 21