Pesquisa de site

Atendendo aos requisitos de risco de terceiros do NIST CSF em 2023

O Instituto Nacional de Padrões e Tecnologia (NIST) publicou publicações especiais focadas em melhorar o Gerenciamento de Riscos de Terceiros (TPRM) e o Gerenciamento de Riscos da Cadeia de Suprimentos (SCRM).

A publicação especial do NIST Cyber Security Framework (NIST CSF) tornou-se uma opção popular por sua aplicabilidade exclusiva a todos os setores com infraestruturas críticas.

O NIST CSF não é uma leitura leve. Com 5 funções, 23 categorias e 108 subcategorias, identificar os controles de segurança do NIST CSF aplicáveis ao gerenciamento de riscos da cadeia de suprimentos cibernética é uma tarefa assustadora.

Esta postagem separa os controles de segurança específicos para o gerenciamento de segurança da informação de terceiros e explica como alinhar os processos de gerenciamento de riscos com esses requisitos.

Saiba como o UpGuard simplifica o gerenciamento de riscos do fornecedor >

O que é o NIST Cybersecurity Framework (CSF)?

A estrutura de segurança cibernética do NIST agrega as melhores práticas de segurança cibernética para ajudar as organizações a proteger seus ativos digitais contra comprometimento. Essas práticas recomendadas são distribuídas em cinco funções principais:

  • Identificar - Identifique todos os ativos e informações confidenciais em seus sistemas de informação vulneráveis a riscos de segurança cibernética.
  • Proteger - Implemente medidas de segurança de dados apropriadas para lidar com todos os riscos de segurança cibernética identificados. As estratégias de proteção podem envolver atualizações de políticas de segurança, treinamento de conscientização de segurança e a implementação de ferramentas de mitigação de riscos de segurança.
  • Detectar - Detecte possíveis vetores de ataque por meio do monitoramento contínuo de toda a superfície de ataque. A superfície de ataque do provedor de serviços deve ser monitorada especialmente, pois muitos ataques cibernéticos têm como alvo fornecedores terceirizados.
  • Responder - Implante esforços de correção rápidos e controlados de acordo com um plano de resposta a incidentes bem projetado.
  • Recuperar - restabeleça as operações de BAU (business as usual) seguindo uma política clara de recuperação de desastres.

Saiba mais sobre as 5 funções principais do NIST CSF >

As organizações podem acompanhar o progresso da implementação dessa estrutura NIST por meio de uma escala de maturidade de 4 camadas. Quanto mais alto o nível, mais perto uma organização está de cumprir os requisitos do NIST CSF.

  1. Nível 1 (parcial)
  2. Nível 2 (Informado sobre Riscos)
  3. Nível 3 (repetível)
  4. Nível 4 (Adaptável)

Observação: esses níveis não representam necessariamente os níveis de maturidade. As organizações precisam determinar qual nível alinha melhor os níveis de exposição ao risco de segurança cibernética com os objetivos operacionais e financeiros.

A versão 1.1 das Estruturas de Segurança Cibernética do NIST pode ser acessada aqui.

A conformidade com o NIST CSF é obrigatória?

Todas as agências federais são obrigadas a cumprir o NIST, bem como todos os membros da cadeia de suprimentos do governo federal, incluindo contratados principais, subcontratados e subcontratados de subcontratados.

Outras empresas do setor privado fora deste grupo não são obrigadas a cumprir o NIST CSF; No entanto, a conformidade com pelo menos os requisitos de segurança de risco do fornecedor da estrutura é altamente recomendada.

Acompanhe o alinhamento do NIST CSF com este > de modelos gratuito

- Regulador das Leis de Proteção de Dados do Consumidor dos EUA

Milhares de profissionais independentes de segurança cibernética contribuíram para o desenvolvimento do NIST CSF para criar um caminho imparcial para melhorar a linha de base de segurança de qualquer organização. Esta é uma das razões pelas quais o NIST CSF está crescendo em popularidade. Em vez de projetar um programa de gerenciamento de riscos a partir de uma tela em branco, as empresas podem cumprir o NIST CSF e seguir um modelo de maturidade testado em batalha para fortalecer sua postura de segurança rapidamente.

Saiba como escolher um produto de conformidade com o NIST CSF >

Como o NIST CSF foi desenvolvido por especialistas do setor, sua implementação também ajudará as partes interessadas a lidar com as vulnerabilidades críticas da tecnologia da informação comumente negligenciadas nos programas de segurança cibernética, reduzindo significativamente o risco de violações de dados de uma organização.

O NIST CSF é membro da série de publicações especiais do NIST. Há três estruturas nesta série:

  • NIST SP 800-53 Rev 5
  • NIST SP 800-161
  • NIST CSF

Como cada estrutura aborda a segurança da cadeia de suprimentos, há uma sobreposição entre os controles de segurança em cada publicação. Os controles de segurança que estão fora dessa sobreposição podem ser facilmente mapeados a partir de uma estrutura padronizada.

Saiba mais sobre NIST 800-53 Rev 5 >

Saiba mais sobre o NIST 800-161 >

Os fornecedores terceirizados precisam estar em conformidade com o NIST CSF?

Como o NIST não é um regulamento obrigatório, os fornecedores terceirizados não são obrigados a cumprir a estrutura. No entanto, como o NIST CSF pode ajudar qualquer organização a elevar sua postura de segurança, todos os fornecedores podem demonstrar a devida diligência de segurança incorporando a estrutura em seus programas de segurança.

A postura de segurança exemplar que é possível com o NIST CSF significa que fornecedores altamente regulamentados, como os do setor de saúde, podem usar os controles de privacidade da estrutura para cumprir regulamentos obrigatórios, como HIPAA.

Leia nosso guia de conformidade para NIST no setor de saúde >

Requisitos de gerenciamento de risco da cadeia de suprimentos na estrutura de segurança cibernética do NIST

O NIST CSF aproveita o risco de terceiros de outras estruturas populares, como ISO 27001 e COBIT, para evitar sobreposição excessiva de controle de segurança quando várias estruturas são usadas em uma estratégia de gerenciamento de risco.

>

As subcategorias específicas dentro do NIST CSF que protegem o gerenciamento de riscos da cadeia de suprimentos são:

  • ID.SC-1: Os processos de gerenciamento de riscos da cadeia de suprimentos cibernética são identificados, estabelecidos, avaliados, gerenciados e acordados pelas partes interessadas organizacionais.
  • ID.SC-2: Fornecedores e parceiros terceirizados de sistemas de informação, componentes e serviços são identificados, priorizados e avaliados usando um processo de avaliação de risco da cadeia de suprimentos cibernética.
  • ID.SC-3: Contratos com fornecedores e parceiros terceirizados são usados para implementar medidas apropriadas projetadas para atender aos objetivos do programa de segurança cibernética de uma organização e do Plano de Gerenciamento de Riscos da Cadeia de Suprimentos Cibernética.
  • ID.SC-4: Fornecedores e parceiros terceirizados são avaliados rotineiramente usando auditorias, resultados de testes ou outras avaliações para confirmar que estão cumprindo suas obrigações contratuais.
  • ID.SC-5: O planejamento e o teste de resposta e recuperação são conduzidos com fornecedores e fornecedores terceirizados

Atendendo aos requisitos de risco de terceiros no NIST CSF versão 1.1

Os requisitos de risco de terceiros do NIST CSF podem ser abordados com as seguintes práticas recomendadas de segurança cibernética.

1. Monitoramento contínuo da superfície de ataque

O monitoramento da superfície de ataque revelará riscos de segurança de terceiros, colocando sua cadeia de suprimentos em um risco crescente de comprometimento.

Esse esforço pode ajudá-lo a abordar a subcategoria ID.SC-1.

O UpGuard monitora continuamente a superfície de ataque de terceiros e até quartos para ajudá-lo a lidar com os riscos de segurança antes que os cibercriminosos os descubram.

Experimente o UpGuard gratuitamente por 7 dias >

2. Classifique seus fornecedores

A hierarquização de fornecedores é o processo de categorizar fornecedores por seu grau de criticidade de risco. Esse esforço permite que você concentre a maior parte de seus esforços de segurança em fornecedores com os maiores impactos potenciais em sua postura de segurança.

Esse esforço pode ajudá-lo a abordar a subcategoria ID.SC-2.

O UpGuard inclui um recurso de Vendor Tiering que oferece controle total sobre o processo de tiering. Isso permite que você classifique os fornecedores com base em sua tolerância ao risco exclusiva.

Saiba mais sobre a hierarquização de fornecedores >

3. Avalie regularmente fornecedores terceirizados com avaliações e questionários de segurança

Avaliações e questionários de segurança permitem avaliações detalhadas das práticas de segurança cibernética de cada fornecedor. As submissões também descobrirão quaisquer violações dos padrões de segurança acordados descritos nos contratos.

Esse esforço pode ajudá-lo a abordar a subcategoria ID.SC-3.

Saiba como comunicar o risco de terceiros ao Conselho >

O UpGuard oferece uma biblioteca abrangente de mapeamento de perguntas de segurança para estruturas populares de segurança cibernética, incluindo as estruturas de segurança cibernética do NIST.

Esses questionários também podem ser editados para acomodar seus requisitos exclusivos de risco de terceiros ou completamente personalizados a partir de uma tela em branco.

Saiba mais sobre o criador de questionários personalizados do UpGuard >

4. Acompanhe as posturas de segurança de fornecedores terceirizados com classificações de segurança

As classificações de segurança podem ser usadas como uma ferramenta de autenticação para verificar os esforços de correção dos fornecedores e como indicadores de possíveis lapsos de segurança que exigem investigação adicional.

Esse esforço pode ajudá-lo a abordar a subcategoria ID.SC-4.

O recurso de classificação de segurança do UpGuard avalia as posturas de segurança de terceiros com base em mais de 70 vetores de ataque avançados, incluindo:

  • Suscetibilidade a ataques man-in-the-middle
  • Certificados SSL/TLS inseguros
  • Configurações de SPF, DKIM e DMARC
  • Segurança de transporte estrita HTTP (HSTS)
  • Falsificação de e-mail e risco de phishing
  • Vulnerabilidades gerais de segurança
  • Suscetibilidade a malware
  • Segurança de rede
  • Portas abertas desnecessárias de administração, banco de dados, aplicativo, e-mail e compartilhamento de arquivos
  • Exposição a violações de dados conhecidas e vazamentos de dados
  • Exposições de software
  • Acessibilidade HTTP
  • Configuração segura de cookies
  • Resultados de questionários de segurança inteligentes

Se você quiser saber como os recursos de classificação de segurança do UpGuard se comparam ao BitSight e ao SecurityScorecard, consulte nosso guia sobre classificações de segurança do SecurityScorecard versus classificações de segurança do BitSight aqui.

5. Solicite os resultados de testes regulares de penetração de fornecedores terceirizados

Estipule um cronograma regular de testes de penetração nos contratos de integração para todos os fornecedores da cadeia de suprimentos. Esses testes devem testar a segurança do controle de acesso, a segurança do gerenciamento de ativos, a segurança do sistema de informações federal e quaisquer estruturas relevantes de gerenciamento de risco.

As descobertas desses testes devem ser divulgadas às suas equipes de segurança, que avaliarão o plano de recuperação de cada fornecedor com base nos resultados do teste de penetração.

Esse esforço pode ajudá-lo a abordar a subcategoria ID.SC-5.

O UpGuard ajuda você a rastrear e gerenciar facilmente os esforços de correção de terceiros para garantir que os fornecedores atinjam a linha de base de segurança mínima necessária para executar seus planos de resposta com sucesso.

Assista ao vídeo abaixo para obter uma visão geral do fluxo de trabalho de avaliação de risco do UpGuard.

Artigos relacionados