A Estrutura de gerenciamento de risco (Risk Management Framework, em inglês) é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, protegidos e monitorados. Originalmente desenvolvido pelo Departamento de Defesa (DoD), o RMF foi adotado por todos os sistemas de informação federais dos Estados Unidos, em 2010.
Hoje, o RMF é mantido pelo National Institute of Standards and Technology (NIST) e fornece uma base sólida para qualquer estratégia de segurança de dados.
O que é a Estrutura de gerenciamento de risco?
O elegantemente intitulado “NIST SP 800-37 Rev.1” define o RMF como um processo de seis etapas para arquitetar e projetar uma estrutura de segurança de dados para novos sistemas de TI e sugere as melhores práticas e procedimentos que cada agência federal deve seguir ao habilitar um novo sistema. Além do documento principal SP 800-37, o RMF usa os documentos suplementares SP 800-30, SP 800-A e SP 800-137.
Etapas da Estrutura de gerenciamento de risco:
Etapa 1 – Categorizar o sistema de informação
O Proprietário do Sistema de Informações atribui uma função de segurança ao novo sistema de TI com base em objetivos de missão e negócios. A função de segurança deve ser consistente com a estratégia de gerenciamento de risco da empresa.
Etapa 2 – Selecione os controles de segurança
Os controles de segurança do projeto são selecionados e aprovados pela liderança dos controles comuns e complementados por controles híbridos ou específicos do sistema. Os controles de segurança são o hardware, o software e os processo técnicos necessários para atender aos requisitos mínimos de garantia, conforme declarados na avaliação de riscos. Além disso, a agência deve desenvolver planos para o monitoramento contínuo do novo sistema durante essa etapa.
Etapa 3 – Implementar controles de segurança
Simplificando, coloque a etapa 2 em ação. Ao final desta etapa, a agência deve ter documentado e comprovado que os requisitos mínimos de garantia foram atingidos e demonstram o uso correto do sistema de informações e das metodologias de engenharia de segurança.
Etapa 4 – Avaliar os controles de segurança
Um avaliador independente analisa e aprova os controles de segurança, conforme implementado na Etapa 3. Se necessário, a agência pode abordar e remediar quaisquer falhas e deficiências encontradas pelo avaliador e documentar o plano de segurança.
Etapa 5 – Autorizar o sistema de informação
A agência deve apresentar um pacote de autorizações para avaliação e determinação de risco. O agente autorizador submete, então, a decisão de autorização a todas as partes necessárias.
Etapa 6 – Monitorar os controles de segurança
A agência continua a monitorar os controles de segurança atuais e os atualiza com base nas alterações do sistema ou do ambiente. A agência também informa regularmente sobre o status de segurança do sistema e corrige eventuais deficiências conforme for necessário.
Como a Varonis pode ajudá-lo a ser compatível?
O regulamento do NIST e o RMF (na verdade, muitos dos padrões de segurança de dados e regulamentos de conformidade) tem três áreas comuns:
– Identificar seus dados e sistemas sensíveis e em risco
– Proteger esses dados
– Monitorar e detectar o que acontece com os dados, quem os acessa e se há algum comportamento suspeito.
A Varonis analisa dados monitorados contra dezenas de modelos de ameaças.
O DatAdvantage monitora dados confidenciais e mapeia permissões de usuários, grupos e pastas para garantir que somente pessoas autorizadas tenham acesso aos dados.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)
