Estrutura de gerenciamento de risco (RMF): uma visão geral

A estrutura de gerenciamento de risco (RMF) é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, protegidos e monitorados. 

Originalmente desenvolvido pelo Departamento de Defesa (DoD), o RMF foi adotado pelo restante dos sistemas de informações federais dos Estados Unidos em 2010. Hoje, o Instituto Nacional de Padrões e Tecnologia (NIST) mantém e fornece uma base sólida para qualquer estratégia de segurança de dados. 

O gerenciamento de risco baseia-se em vários quadros anteriores de gestão de riscos e inclui diversos processos e sistemas independentes. Isso exige que as empresas implementem sistemas seguros e governança de dados e realizem a modelação de ameaças para identificar áreas de risco cibernético. 

Neste guia, mostraremos tudo o que você precisa saber sobre o RMF, dividindo os componentes da estrutura em algumas seções: 

• O que compõe o RMF? 
• Os 5 componentes do gerenciamento de risco 
• As 6 etapas do RMF 
• Os benefícios do gerenciamento de risco para as empresas 
• Como a Varonis pode ajudá-lo a se tornar compatível com o RMF 

O que compreende a estrutura de gerenciamento de risco?

O conceito geral de “gerenciamento de risco” e de “quadro de gerenciamento de risco” pode parecer muito semelhante, mas é importante compreender a distinção entre os dois. 

O processo de gerenciamento de risco é especificamente detalhado pelo NIST em diversas estruturas subsidiárias. O mais importante é o intitulado “NIST SP 800-37 Rev. 1”, que define o RMF como um processo de seis etapas para arquitetar e projetar um processo de segurança de dados para novos sistemas de TI e sugere melhores práticas e procedimentos de cada agência federal deve seguir ao ativar o novo sistema. 

Além do documento primário SP 800-37, a estrutura de gerenciamento de risco utiliza os documentos suplementares SP 800-30, SP 800-53, SP 800-53 A e SP 800-137: 

• O NIST SP 800-30, intitulado Guia para Condução de Avaliações de Risco, fornece uma visão geral de como o gerenciamento de risco se encaixa no clico de vida do desenvolvimento de sistema (SDLC) e descreve como conduzir avaliações de risco e mitigar riscos. 
• O NIST SP 800-37 discute a própria estrutura de gerenciamento de risco e contém muitas das informações que abordaremos no restante deste guia. 
• Finalmente, o NIST SP 800-39, intitulado Gerenciando Riscos de Segurança da Informação, define a abordagem de vários níveis, em toda a organização, para o gerenciamento de risco, crucial para alcançar a conformidade com o RMF. 

Os 5 componentes do gerenciamento de risco

Ao começar a usar a estrutura de gerenciamento de risco, pode ser útil dividir os requisitos de gestão de riscos em diferentes categoriais. Essas categorias fornecem uma maneira de trabalhar em direção a um sistema de gerenciamento de risco eficaz, desde a identificação dos riscos mais críticos até como mitigá-los. 

Identificação de risco

A primeira, e provavelmente mais importante parte do RMF é realizar a identificação de riscos. O NIST afirma que “os fatores de risco típicos incluem ameaça, vulnerabilidade, impacto, probabilidade e propensão”. Durante esta etapa, você fará um brainstorming de todos os possíveis riscos que podem imaginar em todos os seus sistemas e, em seguida, priorizá-los usando diferentes fatores: 

• As ameaças são eventos que podem potencialmente prejudicar a organização por intrusão, destruição ou divulgação 
• As vulnerabilidades são pontos fracos nos sistemas de TI, segurança, procedimentos e controles que podem se explorados por malfeitores (internos ou externos) 
• O impacto é uma medida de quão grave seria o dano à organização se uma vulnerabilidade ou ameaça específica fosse bem-sucedida 
• A probabilidade é uma medida do fator de risco com base na probabilidade de ocorrer um ataque a uma vulnerabilidade específica 
• A propensão é um fator específico dentro da organização que aumenta ou diminui o impacto, ou a possibilidade de uma vulnerabilidade entrar em ação 

Mensuração e avaliação de risco

Depois de identificar as ameaças, vulnerabilidades, impacto, probabilidade e propensão, é possível calcular e classificar os riscos que sua organização pode enfrentar. 

Mitigação de riscos

As organizações pegam a lista de classificação anterior e começam a descobrir como mitigar ameaças, da maior para a menor. Em algum ponto da lista, a empresa pode decidir que não vale a pena abordar riscos abaixo de um determinado nível, seja porque há pouca probabilidade de ocorrer ou porque há muitas ameaças mais importantes para gerenciar imediatamente. 

Relatório e monitoramento de riscos

A RMF exige que as organizações mantenham uma lista e monitorem os riscos conhecidos para conformidade. As estatísticas sobre violações de dados indicam que muitas empresas ainda não comunicam todos os ataques bem-sucedidos a que estão expostas, o que poderia afetar os seus pares. 

Governança de riscos

Finalmente, todas as etapas acima devem ser codificada em um sistema de governança de risco. 

As 6 etapas da estrutura de gerenciamento de risco (RMF)

RMF: Passo a passo  

Passo 1: Categorizar o sistema de informação
Passo 2: Selecionar os controles de segurança
Passo 3: Implementar controles de segurança 

Passo 4: Acessar os controles de segurança
Passo 5: Autorizar o sistema de informação
Passo 6: Monitorar os controles de segurança 

No nível mais amplo, o RMF exige que as empresas identifiquem a quais riscos de sistemas e dados estão expostas e implementem medidas razoáveis para mitigá-los. O RMF divide estes objetivos em seis passos interligados. 

Categorizar os sistemas de informação

• Use os padrões NIST para categorizar informações e sistemas para fornecer uma avaliação de risco precisa dos sistemas. 
• O NIST informa quais tipos de sistemas e informações devem ser incluídos 
• E qual o nível de segurança necessário para implementar com base na categorização 

Referências: Publicação FIPS 199, Padrões para Categorização de Segurança de Informações Federais e Sistemas de Informação; Mapeamento de Tipos de Informação e Sistemas de Informação para Categoria de Segurança. 

Selecionar controles de segurança

Selecione os controles de segurança apropriados na publicação NIST 800-53 para “facilitar uma abordagem mais consistente, comparável e repetitivo para selecionar e especificar controles de segurança para sistemas”. 

Referências: Publicação Especial 800-53 Controles de Segurança e Privacidade para Sistemas e Organizações de Informação Federal. Nota do editor: observe que a versão atualizada do 800-53 entrou em vigor em 23 de setembro de 2021. 

Implementar controles de segurança

Coloque em prática os controles selecionados na etapa anterior e documente todos os processos e procedimentos necessários para manter sua operação. 

Referências: Várias publicações fornecem práticas recomendadas para implementar controles de segurança. Acesse essa página para ver. 

Avaliar os controles de segurança

Certifique-se de que os controles de segurança implementados estejam funcionando da maneira necessária para que possa limitar os riscos à operação e aos dados. 

Autorizar sistemas de informação

Os controles de segurança estão funcionando corretamente para reduzir o risco para a organização? Então o controle nesse sistema está autorizado! Parabéns! 

Referências: Publicação Especial 800-37 Rev. 2 Estrutura de Gerenciamento de Riscos para Sistemas e Organizações de Informação: Uma Abordagem de Ciclo de Vida de Sistema para Segurança e Privacidade 

Monitorar os controles de segurança

Monitore e avalie continuamente a eficácia dos controles de segurança e faça alterações durante a operação para garantir a eficácia desses sistemas. Documente quaisquer alterações, conduza análises de impacto regulares e relate o status dos controles de segurança aos funcionários designados. 

Referências: Publicação Especial 800-37 Rev. 2 Estrutura de Gerenciamento de Risco para Sistemas e Organizações de Informação: Uma Abordagem de Ciclo de Vida de Sistema para Segurança e Privacidade 

Como uma estrutura eficaz de gerenciamento de risco pode beneficiar uma empresa?

Embora a estrutura de gerenciamento de risco seja um requisito para as empresas que trabalham com o governo dos EUA, a implementação de um sistema de gestão de riscos pode beneficiar qualquer organização. O objetivo final de trabalhar em direção à conformidade com o RMF é a criação de um sistema de governança de dados e ativos que fornecerá proteção de espectro total contra todos os riscos cibernéticos enfrentados pela organização. 

Mais especificamente, o desenvolvimento de uma estrutura prática de gestão de riscos proporciona à empresa vários benefícios específicos: 

Proteção de ativos

Uma estrutura de gestão de riscos eficaz deve priorizar a compreensão dos riscos que uma empresa enfrenta para tomar as medidas necessárias para proteger seus ativos e seus negócios. Isso significa que uma estrutura abrangente de gerenciamento de riscos ajuda a proteger dados e ativos. 

Gestão de reputação

A gestão de reputação é uma parte essencial das práticas empresariais modernas, e limitar as consequências prejudiciais dos ataques cibernéticos é parte integrante da garantia que a reputação está protegida. Os consumidores estão cada vez mais conscientes da importância da privacidade dos dados, não apenas porque as leis de privacidade estão se tornando mais rigorosas. Uma violação de dados prejudica a reputação de uma empresa, por isso, uma estrutura eficaz de gerenciamento de risco pode ajudar a analisar rapidamente as lacunas nos controles de nível empresarial e a desenvolver um roteiro para reduzir ou evitar riscos de reputação. 

Proteção para propriedade intelectual

Quase todas as empresas possuem propriedade intelectual que deve ser protegida, e uma estrutura de gerenciamento de risco se aplica tanto a essa propriedade quanto aos seus dados e ativos. Se a empresa vender, oferecer, distribuir ou fornecer um produto, ou serviço que proporcione uma vantagem competitiva, ela está exposta a um possível roubo de Propriedade Intelectual. Uma estrutura de gerenciamento de risco ajuda a proteger contra potenciais perdas de vantagem competitiva, oportunidades de negócios e até mesmo riscos legais. 

Análise de concorrente

Finalmente, o desenvolvimento de uma estrutura de gerenciamento de risco pode ter impactos benefícios na operação fundamental dos negócios. Ao catalogar os riscos que enfrenta e tomar medidas para os mitigar, estará também reunindo uma riqueza de informações valiosas sobre o mercado em que a organização atua, e isto, por si só, pode fornecer uma grande vantagem sobre seus pares. 

Como a Varonis pode ajudar a estar em conformidade?

A regulamentação do NIST e a RMF e, na verdade, muitos dos padrões de segurança de dados e regulamentos de conformidade, têm três áreas em comum: 

• Identificar seus dados e sistemas confidenciais e em risco, incluindo usuários, permissões, pastas etc. 
• Proteger esses dados, gerenciar o acesso e minimizar a superfície de risco 
• Monitorar e detectar o que está acontecendo nesses dados, quem os acessa e identificar quando há comportamento suspeito ou atividade incomum em arquivos 

A Varonis Data Security Platform permite que as organizações gerenciem, e automatizem, muitas recomendações requisitos da RMF. 

O DatAdvantage e o Data Classification Engine identificam dados confidenciais em armazenamento de dados principais e mapeiam permissões de usuários, grupos e pastas para que seja possível identificar onde estão os dados confidenciais e quem pode acessá-los. Saber quem tem acesso aos dados é um componente chave da fase de avaliação de risco, definida na NIST SP 800-53. 

A análise de segurança de dados ajuda a atender ao requisito NIST SP 800-53 para monitorar constantemente seus dados. Para isso, a Varonis analisa bilhões de eventos de atividade de acesso a dados, atividade de VPN, DNS, proxy e Active Directory e cria automaticamente perfis comportamentais para cada usuário e dispositivo. Os modelos de ameaças baseados em aprendizado de máquina identificam proativamente comportamentos anormais e ameaças potenciais, como ransomware, malware, ataques de força bruta e ameaças internas. 

O NIST SP 800-137 estabelece diretrizes para proteger os dados e exige que a organização atenda a um modelo de privilégio mínimo. O DatAdvantage surge onde os usuários têm acesso que talvez não precisem mais. O Automation Engine pode limpar permissões e remover grupos de acesso global automaticamente. O DataPrivilege simplifica o gerenciamento de permissões e acessos, designando proprietários de dados e automatizando revisões de direitos. 

Embora a estrutura de gerenciamento de risco seja complexa na superfície, em última análise, é uma abordagem lógica e prática para boas práticas de segurança de dados — veja como a Varonis pode ajudar a atender às diretrizes NIST SP 800-37 RMF. 

Uma palavra final

Trabalhar em prol da conformidade com o RMF não é apenas um requisito para empresas que trabalham com o governo dos EUA.  Ao implementar uma estratégia de avaliação e governança de riscos de forma eficaz, ela também pode proporcionar muitos benefícios operacionais. 

O foco principal da estrutura de gerenciamento de risco deve ser a integridade dos dados, porque as ameaças a eles provavelmente serão as mais críticas que uma organização irá enfrentar. 

Agende uma sessão de demonstração para tirar suas dúvidas e entender se a plataforma Varonis é a ideal para sua empresa.