Estrutura de gerenciamento de risco (RMF): uma visão geral

A Estrutura de gerenciamento de risco é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser projetados
Emilia Bertolli
2 minuto de leitura
Ultima atualização 28 de Outubro de 2021

A Estrutura de gerenciamento de risco (Risk Management Framework, em inglês) é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, protegidos e monitorados. Originalmente desenvolvido pelo Departamento de Defesa (DoD), o RMF foi adotado por todos os sistemas de informação federais dos Estados Unidos, em 2010.

Hoje, o RMF é mantido pelo National Institute of Standards and Technology (NIST) e fornece uma base sólida para qualquer estratégia de segurança de dados.

O que é a Estrutura de gerenciamento de risco?
O elegantemente intitulado “NIST SP 800-37 Rev.1” define o RMF como um processo de seis etapas para arquitetar e projetar uma estrutura de segurança de dados para novos sistemas de TI e sugere as melhores práticas e procedimentos que cada agência federal deve seguir ao habilitar um novo sistema. Além do documento principal SP 800-37, o RMF usa os documentos suplementares SP 800-30, SP 800-A e SP 800-137.

Etapas da Estrutura de gerenciamento de risco:

Etapa 1 – Categorizar o sistema de informação
O Proprietário do Sistema de Informações atribui uma função de segurança ao novo sistema de TI com base em objetivos de missão e negócios. A função de segurança deve ser consistente com a estratégia de gerenciamento de risco da empresa.

Etapa 2 – Selecione os controles de segurança
Os controles de segurança do projeto são selecionados e aprovados pela liderança dos controles comuns e complementados por controles híbridos ou específicos do sistema. Os controles de segurança são o hardware, o software e os processo técnicos necessários para atender aos requisitos mínimos de garantia, conforme declarados na avaliação de riscos. Além disso, a agência deve desenvolver planos para o monitoramento contínuo do novo sistema durante essa etapa.

Etapa 3 – Implementar controles de segurança
Simplificando, coloque a etapa 2 em ação. Ao final desta etapa, a agência deve ter documentado e comprovado que os requisitos mínimos de garantia foram atingidos e demonstram o uso correto do sistema de informações e das metodologias de engenharia de segurança.

Etapa 4 – Avaliar os controles de segurança
Um avaliador independente analisa e aprova os controles de segurança, conforme implementado na Etapa 3. Se necessário, a agência pode abordar e remediar quaisquer falhas e deficiências encontradas pelo avaliador e documentar o plano de segurança.

Etapa 5 – Autorizar o sistema de informação
A agência deve apresentar um pacote de autorizações para avaliação e determinação de risco. O agente autorizador submete, então, a decisão de autorização a todas as partes necessárias.

Etapa 6 – Monitorar os controles de segurança
A agência continua a monitorar os controles de segurança atuais e os atualiza com base nas alterações do sistema ou do ambiente. A agência também informa regularmente sobre o status de segurança do sistema e corrige eventuais deficiências conforme for necessário.

Como a Varonis pode ajudá-lo a ser compatível?
O regulamento do NIST e o RMF (na verdade, muitos dos padrões de segurança de dados e regulamentos de conformidade) tem três áreas comuns:

– Identificar seus dados e sistemas sensíveis e em risco
– Proteger esses dados
– Monitorar e detectar o que acontece com os dados, quem os acessa e se há algum comportamento suspeito.

A Varonis analisa dados monitorados contra dezenas de modelos de ameaças.

O DatAdvantage monitora dados confidenciais e mapeia permissões de usuários, grupos e pastas para garantir que somente pessoas autorizadas tenham acesso aos dados.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

estrutura-de-gerenciamento-de-risco-(rmf):-uma-visão-geral
Estrutura de gerenciamento de risco (RMF): uma visão geral
A estrutura de gerenciamento de risco (RMF) é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, protegidos e monitorados. 
gerenciamento-da-rede-corporativa-é-essencial-para-evitar-propagação-de-ameaças
Gerenciamento da rede corporativa é essencial para evitar propagação de ameaças
Conheça as melhores formas de promover o gerenciamento da rede corporativa, que garante a segurança dos dados da sua empresa. Por meio do gerenciamento, a equipe de TI tem condição de agir antes que qualquer ameaça cause prejuízo.
como-grandes-empresas-encontram-vazamentos
Como grandes empresas encontram vazamentos
Conheça algumas ações e modelos diferentes utilizados pelas empresas para se prevenirem de vazamentos de dados confidenciais
conheça-a-diferença-entre-governança-de-ti-e-governança-de-dados
Conheça a diferença entre governança de TI e governança de dados
Conheça a importância de governança de TI e governança de dados estarem sempre alinhados para proporcionar melhores resultados de negócios para as empresas.