NIST como principal aliado em medir a maturidade cibernética

Na visão de executivos ouvidos pela Security Report, o Framework é uma ótima metodologia para avaliar e adaptar um indicador de maturidade. Por outro lado, esse processo esbarra em alguns desafios como escassez de recursos financeiros e a falta de uma estratégia. Superando esses obstáculos, os sistemas passaram a suportar os negócios

Compartilhar:

Os desafios de cibersegurança seguem acelerados em decorrência do dinamismo e da sofisticação das técnicas dos ataques cibernéticos. Diante disso, criar mecanismos e metodologias para avaliar o nível de maturidade em SI é crucial. Uma pesquisa da KPMG, por exemplo, apontou que 44% das empresas globais operam em níveis de baixa maturidade com relação às boas práticas de SI.

 

Na visão de Alexandre Domingos, Diretor de Segurança, Privacidade e Continuidade de Negócios na DASA, a Cyber Security Framework do NIST é uma boa metodologia para avaliar e adaptar um indicador de maturidade de Segurança de uma empresa. “Digo adaptar porque, nativamente, o NIST CSF não é um modelo de maturidade. No nosso caso (DASA), por exemplo, para cada um dos 108 controles do NIST, nós criamos um padrão de maturidade utilizando como referência o Capability Maturity Model Integration – CMMI, que nos ajudou a criar os diferentes níveis de avaliação e medição”, explica o Domingos em entrevista à Security Report.

 

Segundo o executivo, esse modelo foi implementado em 2020, onde foi possível medir o primeiro indicador de maturidade, gerando um plano para os 3 anos seguintes, incluindo metas de aumento para cada ano e priorizando os sistemas que suportam os negócios mais relevantes para a companhia. “O objetivo anual do NIST foi vinculado a um propósito OER corporativa, que impacta o bônus das pessoas, algo que foi muito positivo para o engajamento de todos os responsáveis internos que tratam os controles do NIST”, pontua.

 

Outra vantagem desse modelo é estar preparado para processos de testes e auditorias. O executivo explica que sua equipe teve o cuidado de desenhar métodos com o intuito de facilitar os testes da área de controles internos e de futuras auditorias. De acordo com Domingos, essa diretriz é muito importante já que acelera o trabalho das outras linhas de defesa da organização. “A preparação antecipada de evidências não onera os times durante os testes da segunda e terceira linhas de defesa, controles internos e auditorias respectivamente”, destaca o executivo.

 

Mas para medir, avaliar e elevar o nível de maturidade, é preciso entender toda a jornada e os possíveis gargalos. Na avaliação de Leonardo Ovídio, CISO na Brookfield Energia Renovável, esses desafios envolvem alguns pilares importantes, o primeiro ligado à escassez de recursos humanos, um problema que atinge não apenas o Brasil, mas outros países também vivem a mesma dificuldade de encontrar profissionais capacitados.

 

“O segundo ponto é fazer com que o corpo executivo entenda a SI como risco de negócio e não mais como questões envolvendo tecnologia. Quando falamos do segmento de energia, por exemplo, estamos envolvendo vidas que podem ser afetadas, o que se torna um grande desafio. O terceiro elemento é prioridade de recursos financeiros e, por fim, a ausência de um líder que consiga fazer uma boa tradução do técnico para estratégias de negócio. Sem um programa adequado, a Segurança é impactada e muitos incidentes podem acontecer por falta dessa maturidade”, alerta Ovídio.

 

Ainda nesse segmento em que atua, Ovídio explica que na Brookfield Energia Renovável há diversos programas robustos e que permeiam frente de treinamento tradicionais, campanhas de Phishing, processos de onboarding e a delegação para as pontas, ou seja, dando autonomia para fazer todo o trabalho que precisa ser feito. “Precisamos ter treinamentos de padrão, algo que faz parte da cultura de todas as empresas. Com isso, conseguimos ter um nível de conscientização e maturidade mais aprimorado”, comenta o CISO na Brookfield Energia Renovável.

 

Cenário após implementação

 

Domingos explica que quando a DASA passou a utilizar um indicador de maturidade, foi criado uma forma fácil de entender e de compartilhar com o board a jornada de evolução dos temas de Segurança, continuidade de negócios e Privacidade. Segundo ele, ficou claro ao conselho administrativo o cenário enfrentado, onde seria possível chegar com os níveis de maturidade esperados e os investimentos que eram necessários.

 

“Continuamos na jornada de alcançar a meta estabelecida dentro do que faz sentido para a companhia. Uma vez alcançada, entendemos que passaremos a fazer a manutenção dos controles, garantindo a efetividade, evoluindo a estratégia para um modelo mais robusto de gestão de riscos”, completa o Diretor de Segurança, Privacidade e Continuidade de Negócios na DASA.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

79% dos ataques de ransomware usaram identidades como vetor de acesso inicial

Descoberta foi documentada no State of Ransomware 2026 da Sophos, anunciada hoje (15) pela empresa. De acordo com os executivos...
Security Report | Destaques

Jornada resiliente do Grupo Fácil transforma gestão de brechas e threat intelligence

A companhia de gestão empresarial em saúde contou com a parceria da Clavis para ampliar suas capacidades com SOC e...
Security Report | Destaques

É AMANHÃ! Últimas vagas abertas para Masterclass sobre Otimização de Orçamentos em TI

Conduzido pelo Líder de Tecnologia e Cibersegurança Clayton Soares, o workshop Estratégias de Otimização do Orçamento de TI é direcionado...
Security Report | Destaques

Cibersegurança automatizada sustenta inovação pioneira na Valid

Para dar suporte a uma cultura de experimentação que viabilize transformações tecnológicas, o setor de Cyber da Valid se imbuiu...