NIST como principal aliado em medir a maturidade cibernética

Na visão de executivos ouvidos pela Security Report, o Framework é uma ótima metodologia para avaliar e adaptar um indicador de maturidade. Por outro lado, esse processo esbarra em alguns desafios como escassez de recursos financeiros e a falta de uma estratégia. Superando esses obstáculos, os sistemas passaram a suportar os negócios

Compartilhar:

Os desafios de cibersegurança seguem acelerados em decorrência do dinamismo e da sofisticação das técnicas dos ataques cibernéticos. Diante disso, criar mecanismos e metodologias para avaliar o nível de maturidade em SI é crucial. Uma pesquisa da KPMG, por exemplo, apontou que 44% das empresas globais operam em níveis de baixa maturidade com relação às boas práticas de SI.

 

Na visão de Alexandre Domingos, Diretor de Segurança, Privacidade e Continuidade de Negócios na DASA, a Cyber Security Framework do NIST é uma boa metodologia para avaliar e adaptar um indicador de maturidade de Segurança de uma empresa. “Digo adaptar porque, nativamente, o NIST CSF não é um modelo de maturidade. No nosso caso (DASA), por exemplo, para cada um dos 108 controles do NIST, nós criamos um padrão de maturidade utilizando como referência o Capability Maturity Model Integration – CMMI, que nos ajudou a criar os diferentes níveis de avaliação e medição”, explica o Domingos em entrevista à Security Report.

 

Segundo o executivo, esse modelo foi implementado em 2020, onde foi possível medir o primeiro indicador de maturidade, gerando um plano para os 3 anos seguintes, incluindo metas de aumento para cada ano e priorizando os sistemas que suportam os negócios mais relevantes para a companhia. “O objetivo anual do NIST foi vinculado a um propósito OER corporativa, que impacta o bônus das pessoas, algo que foi muito positivo para o engajamento de todos os responsáveis internos que tratam os controles do NIST”, pontua.

 

Outra vantagem desse modelo é estar preparado para processos de testes e auditorias. O executivo explica que sua equipe teve o cuidado de desenhar métodos com o intuito de facilitar os testes da área de controles internos e de futuras auditorias. De acordo com Domingos, essa diretriz é muito importante já que acelera o trabalho das outras linhas de defesa da organização. “A preparação antecipada de evidências não onera os times durante os testes da segunda e terceira linhas de defesa, controles internos e auditorias respectivamente”, destaca o executivo.

 

Mas para medir, avaliar e elevar o nível de maturidade, é preciso entender toda a jornada e os possíveis gargalos. Na avaliação de Leonardo Ovídio, CISO na Brookfield Energia Renovável, esses desafios envolvem alguns pilares importantes, o primeiro ligado à escassez de recursos humanos, um problema que atinge não apenas o Brasil, mas outros países também vivem a mesma dificuldade de encontrar profissionais capacitados.

 

“O segundo ponto é fazer com que o corpo executivo entenda a SI como risco de negócio e não mais como questões envolvendo tecnologia. Quando falamos do segmento de energia, por exemplo, estamos envolvendo vidas que podem ser afetadas, o que se torna um grande desafio. O terceiro elemento é prioridade de recursos financeiros e, por fim, a ausência de um líder que consiga fazer uma boa tradução do técnico para estratégias de negócio. Sem um programa adequado, a Segurança é impactada e muitos incidentes podem acontecer por falta dessa maturidade”, alerta Ovídio.

 

Ainda nesse segmento em que atua, Ovídio explica que na Brookfield Energia Renovável há diversos programas robustos e que permeiam frente de treinamento tradicionais, campanhas de Phishing, processos de onboarding e a delegação para as pontas, ou seja, dando autonomia para fazer todo o trabalho que precisa ser feito. “Precisamos ter treinamentos de padrão, algo que faz parte da cultura de todas as empresas. Com isso, conseguimos ter um nível de conscientização e maturidade mais aprimorado”, comenta o CISO na Brookfield Energia Renovável.

 

Cenário após implementação

 

Domingos explica que quando a DASA passou a utilizar um indicador de maturidade, foi criado uma forma fácil de entender e de compartilhar com o board a jornada de evolução dos temas de Segurança, continuidade de negócios e Privacidade. Segundo ele, ficou claro ao conselho administrativo o cenário enfrentado, onde seria possível chegar com os níveis de maturidade esperados e os investimentos que eram necessários.

 

“Continuamos na jornada de alcançar a meta estabelecida dentro do que faz sentido para a companhia. Uma vez alcançada, entendemos que passaremos a fazer a manutenção dos controles, garantindo a efetividade, evoluindo a estratégia para um modelo mais robusto de gestão de riscos”, completa o Diretor de Segurança, Privacidade e Continuidade de Negócios na DASA.

Conteúdos Relacionados

Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a Netshoes, a Usina Alta Mogiana, a ValeCard, a Metalfrio, a...
Security Report | Destaques

Apagão Cibernético: empresas estimam os impactos da crise

CrowdStrike e Microsoft detectaram ainda no fim de semana que ao menos 8,5 milhões de devices foram atingidos pela pane...
Security Report | Destaques

Apagão Cibernético traz lição sobre vulnerabilidade da cadeia global

A crise desencadeada pela falha na atualização do ambiente CrowdStrike mostrou como a hiperdependência de sistemas digitais pode levar a...
Security Report | Destaques

Falha em ambiente CrowdStrike provoca apagão cibernético

Diversas organizações ao redor do mundo, incluindo Linhas Aéreas, Instituições financeiras e varejistas enfrentam uma pane geral em seus sistemas....