30th Janeiro 2021

Risk Management Framework (RMF): uma visão geral

Articles No comments

o Risk Management Framework (RMF) é um conjunto de critérios que ditam como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, seguros e monitorados.originalmente desenvolvida pelo Departamento de Defesa (DoD), a RMF foi adotada pelo resto dos sistemas de informação federais dos EUA em 2010. Hoje, o Instituto Nacional de normas e Tecnologia (NIST) mantém o NIST e fornece uma base sólida para qualquer estratégia de segurança de dados.,

Obter Gratuitamente o Guia Essencial para NÓS Conformidade com Proteção de Dados e Regulamentos

A RMF é baseado em diversos anterior de gestão de risco de quadros e inclui vários processos independentes e sistemas. Exige que as empresas implementem sistemas seguros de governança de dados e realizem modelagem de ameaças para identificar áreas de Risco Cibernético.neste guia, vamos levá-lo através de tudo o que precisa saber sobre a RMF. Vamos dividir os componentes do framework em várias seções:

  • O que compreende o RMF?,as 5 componentes de gestão de Risco as 6 etapas da RMFP os benefícios da RMF para as empresas como a Varonis pode ajudá-lo a tornar-se compatível com a RMF o que inclui o quadro de gestão de risco?

    o conceito geral de “gestão do risco” e o “quadro de gestão do risco” podem parecer bastante semelhantes, mas é importante compreender a distinção entre os dois. O processo de gestão de riscos é especificamente detalhado pela NIST em vários enquadramentos subsidiários.

    O mais importante é o elegantemente intitulado ” NIST SP 800-37 Rev.,1″, que define o RMF como um processo de 6 etapas para arquiteto e engenheiro de um processo de segurança de dados para novos sistemas de TI, e sugere as melhores práticas e procedimentos que cada agência federal deve seguir ao permitir um novo sistema.,

    além do principal documento de SP 800-37, a RMF usa documentos complementares SP 800-30, SP 800-53, SP 800-53.o-c e SP 800-137:

    • NIST SP 800-30, intitulado Guia para a Realização de Avaliações de Risco, fornece uma visão geral de como a gestão do risco se encaixa no sistema de ciclo de vida de desenvolvimento (SDLC) e descreve como conduzir avaliações de risco e como diminuir os riscos.
    • NIST SP 800-37 discute o próprio quadro de gestão de risco e contém grande parte da informação que iremos cobrir no restante deste guia.,finalmente, o NIST SP 800-39, intitulado gestão do risco de segurança da informação, define a abordagem multi-níveis, em toda a organização, da gestão do risco crucial para alcançar o cumprimento da MRR.

    os 5 componentes de gestão de risco

    quando se inicia com a MR, pode ser útil quebrar os requisitos de gestão de risco em diferentes categorias. Estas categorias fornecem uma forma de trabalhar para um sistema eficaz de gestão de risco, desde a identificação dos riscos mais críticos que você enfrenta até a forma como você vai mitigá-los.,

    identificação do risco

    o primeiro, e provavelmente o mais importante, parte do MRR é realizar a identificação do risco. NIST diz: “os fatores de risco típicos incluem ameaça, vulnerabilidade, impacto, probabilidade e condição de predisposição.”Durante esta etapa, você vai pensar em todos os possíveis riscos que você pode imaginar em todos os seus sistemas e, em seguida, priorizá-los usando diferentes fatores:

    • ameaças são eventos que podem potencialmente prejudicar a organização por intrusão, destruição ou divulgação.,vulnerabilidades são fraquezas nos sistemas de TI, Segurança, procedimentos e controles que podem ser explorados por atores ruins (internos ou externos).
    • o impacto é uma medida de quão grave seria o dano para a organização se uma vulnerabilidade ou ameaça particular fosse comprometida.
    • a probabilidade é uma medida do factor de risco baseada na probabilidade de um ataque a uma vulnerabilidade específica.,as condições predisponentes são um fator específico dentro da organização que aumenta ou diminui o impacto ou a probabilidade de uma vulnerabilidade entrar em jogo.

    Medição e Avaliação do risco

    Uma vez identificadas as ameaças, vulnerabilidades, impacto, probabilidade e condições predisponentes, pode calcular e classificar os riscos que a sua organização precisa de enfrentar.

    mitigação de riscos

    organizações tomam a lista anterior classificada e começam a descobrir como mitigar as ameaças do maior ao mínimo., Em algum ponto da lista, a organização pode decidir que riscos abaixo deste nível não valem a pena abordar, ou porque há pouca probabilidade de essa ameaça ser explorada, ou se há muitas ameaças maiores para gerir imediatamente para encaixar as baixas ameaças no plano de trabalho.a RMF requer que as organizações mantenham uma lista de riscos conhecidos e monitorem os riscos conhecidos para o cumprimento das políticas., As estatísticas sobre violações de dados indicam que muitas empresas ainda não relatam todos os ataques bem sucedidos a que estão expostas, o que poderia afetar seus pares.

    governação do risco

    Finalmente, todas as etapas acima devem ser codificadas num sistema de governação do risco.

    as 6 etapas do quadro de gestão de riscos (RMF)

    a um nível mais amplo, a RMF exige que as empresas identifiquem a que sistema e dados estão expostas e apliquem medidas razoáveis para os atenuar., O RFR divide estes objectivos em seis fases interligadas, mas separadas.

    categorizar Sistemas de informação

    • usar os padrões NIST para categorizar informação e sistemas para que possa fornecer uma avaliação de risco precisa desses sistemas.
    • NIST diz-lhe que tipo de sistemas e informações deve incluir.
    • e que nível de segurança você precisa implementar com base na categorização.referências: FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems; Special Publication 800-60 Rev., 1 (Volume 1, Volume 2), Guia para o Mapeamento de Tipos de Informação e Sistemas de Informação de Segurança de Categorias

      Selecionar Controles de Segurança

      Selecione a opção apropriada de controles de segurança a partir do NIST publicação 800-53 para “facilitar uma mais consistente, comparável, e repetível para a seleção e especificação de controles de segurança para os sistemas.”

      References: Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations ed. note que a versão atualizada de 800-53 entra em vigor em 23 de setembro de 2021. Fiquem atentos aos detalhes.,

      implemente os controlos de segurança

      coloque os controlos que seleccionou na etapa anterior e documente todos os processos e procedimentos de que necessita para manter a sua operação.referências: várias publicações fornecem as melhores práticas para a implementação dos controlos de segurança. Confira esta página para procurá-los.

      avalie os controlos de segurança

      certifique-se que os controlos de segurança que implementou estão a funcionar da forma que eles precisam para que possa limitar os riscos para a sua operação e dados.,os controlos de segurança estão a funcionar correctamente para reduzir o risco para a organização? Então esse controlo no sistema está autorizado! Parabéns!Publication Special 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy

      Monitor Security Controls

      continuamente monitorar e avaliar os controles de segurança para a eficácia e fazer alterações durante a operação para garantir a eficácia desses sistemas., Documente quaisquer alterações, realize análises de impacto regulares, e relate o status dos controles de segurança para seus funcionários designados.referências: publicação especial 800-37 Rev. 2 Quadro de gestão de risco para sistemas e organizações de informação: Uma Abordagem do ciclo de vida do sistema para a segurança e a privacidade

      Como Pode um quadro de gestão de risco eficaz beneficiar uma empresa?embora o RMF seja um requisito para as empresas que trabalham com o governo dos EUA, a implementação de um sistema eficaz de gestão de Riscos pode beneficiar todas as empresas., O objetivo final de trabalhar em prol da conformidade com as RMF é a criação de um sistema de governança de dados e ativos que proporcionará proteção de pleno espectro contra todos os riscos cibernéticos que você enfrenta.mais especificamente, o desenvolvimento de um quadro prático de gestão de riscos proporcionará a uma empresa vários benefícios específicos: protecção de activos

      protecção de activos

      Um quadro eficaz de gestão de riscos dará prioridade à compreensão dos riscos que a sua empresa enfrenta para tomar as medidas necessárias para proteger os seus activos e a sua empresa., Isso significa que um quadro abrangente de gestão de risco irá ajudá-lo a proteger seus dados e seus ativos.

      A Gestão da reputação

      a gestão da Reputação é uma parte essencial das práticas empresariais modernas, e limitar as consequências prejudiciais dos ciberataques é uma parte integrante da garantia de que a sua reputação é protegida. Os consumidores dos EUA estão cada vez mais conscientes da importância da privacidade dos dados, não apenas porque as leis de privacidade dos EUA estão se tornando cada vez mais rígidas. Uma violação de dados prejudicará a reputação do seu negócio., Um quadro de gestão de risco eficaz pode ajudar as empresas a analisar rapidamente lacunas nos controlos a nível das empresas e a desenvolver um roteiro para reduzir ou evitar riscos de reputação.

      protecção IP

      quase todas as empresas têm propriedade intelectual que deve ser protegida, e um quadro de gestão de risco aplica-se tanto a esta propriedade como aos seus dados e activos. Se você vender, oferecer, distribuir ou fornecer um produto ou serviço que lhe dá uma vantagem competitiva, Você está exposto a potencial roubo de Propriedade Intelectual., Um quadro de gestão de risco ajuda a proteger contra potenciais perdas de vantagem competitiva, oportunidades de negócio e até riscos legais.finalmente, o desenvolvimento de um quadro de gestão de risco pode ter impactos benéficos na operação fundamental da sua empresa. Ao catalogar os riscos que enfrenta e tomar medidas para os mitigar, estará também a recolher uma riqueza de informações valiosas no mercado em que opera, o que – por si só – lhe pode dar uma vantagem competitiva sobre os seus pares.como Varonis pode ajudá-lo a cumprir?,

      NIST regulation and the RMF (in fact, many of the data security standards and compliance regulations) have three areas in common:

      • Identify your sensitive and at risk data and systems (including users, permissions, folders, etc.);
      • proteger esses dados, gerenciar o acesso e minimizar a superfície de risco;
      • monitorar e detectar o que está acontecendo nesses dados, quem está acessando, e identificar quando há comportamento suspeito ou atividade incomum de arquivo.,

      a plataforma de segurança de dados Varonis permite às agências federais gerirem (e automatizarem) muitas das recomendações e requisitos da RMF.

      DatAdvantage and Data Classification Engine identifies sensitive data on core data stores, and maps user, group, and folder permissions so that you can identify where your sensitive data is and who can access it. Saber quem tem acesso aos seus dados é um componente fundamental da fase de avaliação de riscos, definida no NIST SP 800-53.,

      análise de segurança de dados ajuda a cumprir o requisito NIST SP 800-53 de monitorar constantemente seus dados: Varonis analisa bilhões de eventos de atividade de acesso de dados, VPN, DNS, e atividade proxy, e Diretório Ativo e automaticamente constrói perfis comportamentais para cada usuário e dispositivo. Modelos de ameaças movidos a máquinas identificam proativamente comportamentos anormais e potenciais ameaças como ransomware, malware, ataques de Força bruta e, ameaças internas.NIST SP 800-137 estabelece orientações para proteger os seus dados e exige que a agência cumpra um modelo de menor privilégio., DatAdvantage superfícies onde os usuários têm acesso que eles podem não precisar mais baseado. Motor de automação pode limpar as permissões e remover grupos de acesso global automaticamente. DataPrivilege simplifica as permissões e a gestão do acesso, designando os proprietários dos dados e automatizando as revisões de direitos.embora o quadro de gestão de risco seja complexo à superfície, em última análise é uma abordagem sem sentido e lógica às boas práticas de segurança de dados-veja como Varonis pode ajudá– lo a cumprir as Diretrizes NIST SP 800-37 RMF hoje.,

      uma palavra final

      trabalhando para a conformidade RMF não é apenas um requisito para as empresas que trabalham com o governo dos EUA. Se você implementar uma avaliação de risco e estratégia de governança de forma eficaz, ela também pode fornecer-lhe uma abundância de benefícios operacionais.

      O foco principal dos seus processos RMF deve ser a integridade dos dados, porque as ameaças aos dados são provavelmente as mais críticas que o seu negócio enfrenta. É por isso que construímos nossa suíte de software Varonis com recursos que lhe permitem implementar rápida e eficazmente um processo de avaliação de risco e governança.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *