# Implementação da NIST Cybersecurity Framework

Estabeleça uma referência de segurança cibernética  
e priorizações para gerenciar riscos

![NIST Cybersecurity Framework](https://www.manageengine.com/images/nist-ban-crtve.svg)

## O que é o NIST Cybersecurity Framework?

O NIST Cibersecurity Framework (CSF) consiste em diretrizes e padrões voluntários para gerenciar os riscos de segurança cibernética em toda uma organização ou em suas infraestruturas críticas. Ela oferece uma abordagem flexível, repetível e econômica para a gestão de riscos de cibersegurança.

O framework foi originalmente concebido como um sistema de gerenciamento de riscos de segurança cibernética para as infraestruturas essenciais dos EUA. Hoje, ele foi amplamente implementado nos setores público e privado em todos os departamentos organizacionais e em todo o mundo.

## Por que você precisa implementar o NIST CSF?

- ![Fortaleça sua postura de segurança cibernética](https://www.manageengine.com/images/nist-csf-icon1.svg)  
  **Fortaleça sua postura de segurança cibernética**  
  Examine sua postura de segurança atual e priorize oportunidades para fortalecê-la.

- ![Compreenda os riscos organizacionais](https://www.manageengine.com/images/nist-csf-icon2.svg)  
  **Compreenda os riscos organizacionais**  
  Avalie os riscos de forma objetiva e formule um plano de ação para reduzi-los ao nível de tolerância.

- ![Esteja em conformidade com os padrões globais](https://www.manageengine.com/images/nist-csf-icon3.svg)  
  **Esteja em conformidade com os padrões globais**  
  Cumpra facilmente outros padrões e mandatos globais existentes.

- ![Maximize o seu ROI](https://www.manageengine.com/images/nist-csf-icon4.svg)  
  **Maximize o seu ROI**  
  Concentre-se nos componentes críticos de prestação de serviços para tornar o processo de implementação econômico.

- ![Comunique-se de forma eficaz](https://www.manageengine.com/images/nist-csf-icon7.svg)  
  **Comunique-se de forma eficaz**  
  Use a linguagem comum da estrutura para transmitir riscos e requisitos de segurança cibernética a todas as partes interessadas.

- ![Expanda o escopo do gerenciamento de riscos](https://www.manageengine.com/images/nist-csf-icon6.svg)  
  **Expanda o escopo do gerenciamento de riscos**  
  Garanta que os produtos e serviços dos parceiros atendam aos resultados críticos de segurança.

## Componentes do framework

### Núcleo do framework

O núcleo da estrutura consiste em atividades fundamentais de gestão de riscos que ajudam as organizações a alcançar resultados de segurança cibernética que se alinham aos seus objetivos e prioridades de negócio.

O núcleo é composto por seis funções: governar, identificar, proteger, detectar, responder e recuperar. Ele oferece uma estratégia holística para compreender potenciais ameaças de segurança, mitigar seus impactos e se recuperar com o mínimo de interrupções nos negócios.

As funções não pretendem ser um caminho sequencial em direção a um estado desejado. Elas descrevem um conjunto de ações que podem ser executadas de forma concomitante e contínua para desenvolver uma cultura organizacional que aborde riscos de segurança cibernética emergentes.

### Níveis de implementação do framework

Os níveis de implementação ajudam as organizações a descrever o quão sofisticado é o seu programa de gestão de segurança cibernética. Eles podem servir como uma referência interna para padronizar uma abordagem de segurança cibernética em toda a organização.

Os níveis não são indicadores de maturidade. As organizações devem avançar para um nível mais alto quando tiverem os recursos e orçamento para reduzir os seus riscos de segurança cibernética.

- **Nível 1: Parcial**  
  Práticas irregulares e reativas de gerenciamento de riscos com consciência limitada dos riscos de segurança cibernética.

- **Nível 2: Informado por riscos**  
  Alguma consciência dos riscos de segurança cibernética, mas estabelecimento limitado de um programa de gerenciamento de riscos ao nível organizacional.

- **Nível 3: Repetível**  
  Programa consistente de gerenciamento de riscos de segurança cibernética em uma organização com processos para responder com base nas mudanças no cenário de ameaças.

- **Nível 4: Adaptativo**  
  Sistema de resposta avançado capaz de melhorar efetivamente seu programa de gerenciamento de riscos com base em incidentes anteriores e indicadores preditivos.

### Perfil do framework

O perfil do framework ajuda as organizações a compreenderem sua postura atual de segurança cibernética em termos dos resultados descritos na estrutura. Após avaliarem seu perfil atual, as organizações podem desenvolver seu perfil alvo selecionando os principais resultados descritos sob as funções do framework com base em seus objetivos de negócio, tolerância ao risco e recursos.

Ao criar um perfil atual e compará-lo com o perfil alvo, as organizações podem identificar oportunidades para melhorar seu programa de segurança cibernética. Com base na prioridade e no custo estimado dos esforços corretivos, as organizações podem planejar medidas de melhoria da segurança cibernética.

## Como a ManageEngine pode ajudar você a implementar o NIST CSF?

Embora o NIST CSF consista em controles técnicos e não técnicos para o gerenciamento de riscos de segurança cibernética, ajudaremos você a implementar os aspectos técnicos dele.

### Governo

#### Contexto organizacional

Entenda e gerencie a missão do programa de segurança cibernética, os requisitos legais e as expectativas das partes interessadas.

**Como a ManageEngine pode ajudar você**

- [Log360 e Log360 Cloud](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Simplifique a gestão de conformidade com modelos de relatórios prontos para auditoria para PCI DSS, HIPAA, FISMA, CCPA, GDPR e muito mais.

#### Estratégia de gerenciamento de risco

Estabeleça e comunique as prioridades da organização, a tolerância a riscos e as premissas em termos de gerenciamento de riscos.

#### Funções, responsabilidades e autoridades

Estabeleça funções, responsabilidades e autoridades em segurança cibernética para promover a responsabilização e otimizar processos.

**Como a ManageEngine pode ajudar você**

- [PAM360](https://www.manageengine.com/br/privileged-access-management/?pos=NISTCybersecFramework)  
  Associe funções a usuários privilegiados para aplicar controles de acesso em endpoints remotos.

#### Políticas

Estabeleça e comunique políticas para gerenciar a segurança cibernética da organização.

#### Supervisão

Revise os resultados do programa de gerenciamento de riscos de segurança cibernética e ajuste a estratégia, se necessário.

**Como a ManageEngine pode ajudar você**

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Veja a postura de risco do AD e do Microsoft SQL Server. Avalie o grau de risco para ajudar a ajustar a estratégia.

#### Gestão de riscos da cadeia de suprimentos de segurança cibernética

Identifique e estabeleça práticas de gestão de riscos de segurança cibernética para gerenciar os riscos associados às suas cadeias de suprimentos.

**Como a ManageEngine pode ajudar você**

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Configure perfis de alerta para ser notificado instantaneamente quando ocorrer uma série de eventos indicativos de um ataque à cadeia de suprimentos e automatize a resposta a incidentes com fluxos de trabalho personalizados.

### Identificação

#### Gerenciamento de ativos

Identifique ativos, sistemas e pessoas críticos para os negócios e gerencie-os de acordo com seus objetivos de negócios e estratégia de risco.

**Como a ManageEngine pode ajudar você**

- [AssetExplorer](https://www.manageengine.com/br/asset-explorer/?pos=NISTCybersecFramework)  
  Descubra ativos de hardware e software em sua rede de TI por meio de varreduras periódicas para manter as informações atualizadas.

- [Endpoint Central](https://www.manageengine.com/br/desktop-central/?pos=NISTCybersecFramework)  
  Identifique e gerencie ativos de hardware e software em sua rede.

- [DataSecurity Plus](https://www.manageengine.com/br/data-security/?pos=NISTCybersecFramework)  
  Descubra dados sensíveis e classifique-os com base em sua sensibilidade.

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Identifique e gerencie computadores, usuários e grupos em seus ambientes do AD e do Microsoft 365.

- [Analytics Plus](https://www.manageengine.com/br/analytics-plus/?pos=NISTCybersecFramework)  
  Consolide dados de todas as aplicações para analisar ativos de toda a organização, sua conformidade com patches, usuários atribuídos e quaisquer riscos associados por meio de dashboards unificados.

#### Avaliações de risco

Determine os riscos de segurança cibernética para sua organização, ativos e pessoas.

**Como a ManageEngine pode ajudar você**

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Obtenha uma pontuação de risco para todas as entidades e usuários da organização. Descubra os ativos e usuários mais arriscados baseados em linhas de base históricas e machine learning. Com base nesses thresholds de pontuação de risco, os administradores podem configurar alertas.

- [Vulnerability Manager Plus](https://www.manageengine.com/br/vulnerability-management/?pos=NISTCybersecFramework)  
  Descubra, avalie e priorize endpoints vulneráveis em sua rede.

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Detecte as vulnerabilidades em seu ambiente híbrido e tome medidas imediatas. Detecte e analise os riscos de segurança em sua infraestrutura de nuvem.

- [Firewall Analyzer](https://www.manageengine.com/br/firewall/?pos=NISTCybersecFramework)  
  Monitore sua rede com recursos de detecção de ameaças internas.

- [PAM360](https://www.manageengine.com/br/privileged-access-management/?pos=NISTCybersecFramework)  
  Gere pontuações de confiança dinâmicas para usuários e dispositivos com base em sua conformidade com as políticas de segurança.

#### Melhoria

Identifique processos e procedimentos para aprimorar o programa de gerenciamento de riscos de segurança cibernética da sua organização.

**Como a ManageEngine pode ajudar você**

- [Analytics Plus](https://www.manageengine.com/br/analytics-plus/?pos=NISTCybersecFramework)  
  Identifique proativamente as fontes de ameaças em sua organização e implemente estratégias baseadas em dados para mitigar riscos.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Obtenha recomendações sobre os possíveis próximos passos no dashboard do Advanced Threat Analytics.

### Proteção

#### Gestão de identidade, autenticação e controles de acesso

Garanta que apenas usuários e dispositivos autorizados possam acessar ativos físicos e lógicos e gerencie os riscos associados ao acesso não autorizado.

**Como a ManageEngine pode ajudar você**

- [PAM360](https://www.manageengine.com/br/privileged-access-management/?pos=NISTCybersecFramework)  
  Identifique e autorize o acesso a recursos críticos para os negócios e identifique atividades privilegiadas incomuns.

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Automatize a autorização de acesso de usuários com base na função organizacional.

- [FileAnalysis](https://www.manageengine.com/br/file-analysis/?pos=NISTCybersecFramework)  
  Previna o abuso de privilégios analisando as permissões de acesso dos usuários.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Detecte ameaças a usuários e dispositivos e acione fluxos de trabalho de resposta.

#### Conscientização e treinamento

Estabeleça programas de conscientização e treinamento para ajudar sua equipe a desempenhar suas funções de segurança cibernética adequadamente.

#### Segurança de dados

Gerencie e proteja os dados de acordo com a política de risco da sua organização para proteger a confidencialidade, a integridade e a disponibilidade das informações.

**Como a ManageEngine pode ajudar você**

- [DataSecurity Plus](https://www.manageengine.com/br/data-security/?pos=NISTCybersecFramework)  
  Automatize a detecção e classificação de dados pessoais e configure políticas de prevenção contra vazamento de dados.

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Faça backup e proteja seus ambientes, como AD e Microsoft 365.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Rastreie atividades críticas relacionadas aos seus arquivos e pastas e receba alertas sobre atividades suspeitas.

#### Segurança da plataforma

Gerencie o hardware e o software da sua organização para garantir sua integridade e disponibilidade.

**Como a ManageEngine pode ajudar você**

- [Patch Manager Plus](https://www.manageengine.com/br/patch-management/?pos=NISTCybersecFramework)  
  Automatize a distribuição de patches.

- [Vulnerability Manager Plus](https://www.manageengine.com/br/vulnerability-management/?pos=NISTCybersecFramework)  
  Execute varreduras periódicas para descobrir vulnerabilidades emergentes.

- [ServiceDesk Plus](https://www.manageengine.com/br/service-desk/?pos=NISTCybersecFramework)  
  Agende atividades de manutenção periódicas.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Configure regras para receber alertas sobre atividades inesperadas.

#### Resiliência da infraestrutura tecnológica

Gerencie a arquitetura e a infraestrutura de segurança da sua organização para proteger a integridade dos ativos e a resiliência organizacional.

**Como a ManageEngine pode ajudar você**

- [ServiceDesk Plus](https://www.manageengine.com/br/service-desk/?pos=NISTCybersecFramework)  
  Estabeleça fluxos de trabalho de resposta a incidentes.

- [PAM360](https://www.manageengine.com/br/privileged-access-management/?pos=NISTCybersecFramework)  
  Adote uma abordagem Zero Trust com pontuação de confiança.

- [Endpoint Central](https://www.manageengine.com/br/desktop-central/?pos=NISTCybersecFramework)  
  Configure políticas rigorosas de bloqueio.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Proteja sua rede contra agentes internos e externos.

- [Application Control Plus](https://www.manageengine.com/br/application-control/?pos=NISTCybersecFramework)  
  Limite intrusões de malware.

- [Network Configuration Manager](https://www.manageengine.com/br/network-configuration-manager/?pos=NISTCybersecFramework)  
  Defenda-se contra vulnerabilidades de firmware.

- [DataSecurity Plus](https://www.manageengine.com/br/data-security/?pos=NISTCybersecFramework)  
  Identifique e responda a ataques de ransomware.

### Detecção

#### Monitoramento continuo

Monitore ativos e sistemas de informação em busca de incidentes e verifique as medidas de segurança regularmente.

**Como a ManageEngine pode ajudar você**

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Monitore e colete dados de auditoria abrangentes.

- [PAM360](https://www.manageengine.com/br/privileged-access-management/?pos=NISTCybersecFramework)  
  Detecte certificados suscetíveis a vulnerabilidades SSL/TLS.

- [OpUtils](https://www.manageengine.com/br/oputils/?pos=NISTCybersecFramework)  
  Detecte dispositivos invasores na rede.

- [DataSecurity Plus](https://www.manageengine.com/br/data-security/?pos=NISTCybersecFramework)  
  Monitore atividades de arquivos e transferências de dados.

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Monitore ativos e sistemas organizacionais.

- [Vulnerability Manager Plus](https://www.manageengine.com/br/vulnerability-management/?pos=NISTCybersecFramework)  
  Verifique toda a rede para detectar vulnerabilidades.

- [OpManager Nexus](https://www.manageengine.com/br/it-operations-management/?pos=NISTCybersecFramework)  
  Detecte ameaças de rede de zero day.

- [NetFlow Analyzer](https://www.manageengine.com/br/netflow/?pos=NISTCybersecFramework)  
  Utilize reconhecimento inteligente de aplicações e análise de tráfego.

- [Firewall Analyzer](https://www.manageengine.com/br/firewall/?pos=NISTCybersecFramework)  
  Monitore dispositivos de segurança de rede.

#### Análise de eventos adversos

Analise anomalias e indicadores de comprometimento para identificar incidentes.

**Como a ManageEngine pode ajudar você**

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Analise informações críticas de eventos de segurança.

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Detecte anomalias e ameaças internas com análise orientada por IA.

- [Analytics Plus](https://www.manageengine.com/br/analytics-plus/?pos=NISTCybersecFramework)  
  Analise eventos passados para identificar e corrigir brechas.

### Resposta

#### Gestão de incidentes

Gerencie seu plano de resposta a incidentes para responder aos detectados de acordo com sua estratégia.

**Como a ManageEngine pode ajudar você**

- [Vulnerability Manager Plus](https://www.manageengine.com/br/vulnerability-management/?pos=NISTCybersecFramework)  
  Remedie ameaças automatizando a implantação de patches.

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Modifique ou revogue permissões NTFS.

- [PAM360](https://www.manageengine.com/br/privileged-access-management/?pos=NISTCybersecFramework)  
  Forneça acesso remoto seguro para remediação.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Automatize e acelere a resposta a ameaças.

- [ServiceDesk Plus](https://www.manageengine.com/br/service-desk/?pos=NISTCybersecFramework)  
  Codifique seu manual de resposta com fluxos de trabalho.

#### Análise de incidentes

Realize análises forenses para entender os impactos de incidentes.

**Como a ManageEngine pode ajudar você**

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Realize análises forenses pesquisando eventos.

- [ServiceDesk Plus](https://www.manageengine.com/br/service-desk/?pos=NISTCybersecFramework)  
  Consulte o mapa de relacionamento no CMDB.

#### Relatórios e comunicações de resposta a incidentes

Coordene as atividades de resposta com as partes interessadas.

**Como a ManageEngine pode ajudar você**

- [Site24x7 StatusIQ](https://www.site24x7.com/statusiq/?pos=NISTCybersecFramework)  
  Mantenha as partes interessadas informadas por meio de página de status, SMS ou e-mail.

- [ServiceDesk Plus](https://www.manageengine.com/br/service-desk/?pos=NISTCybersecFramework)  
  Automatize a comunicação com usuários finais.

#### Mitigação de incidentes

Estabeleça processos para limitar os impactos de incidentes.

**Como a ManageEngine pode ajudar você**

- [ServiceDesk Plus](https://www.manageengine.com/br/service-desk/?pos=NISTCybersecFramework)  
  Reduza a recorrência documentando riscos e automatizando soluções.

- [OpManager Nexus](https://www.manageengine.com/br/it-operations-management/?pos=NISTCybersecFramework)  
  Automatize ações de correção com base em alertas.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Crie fluxos de trabalho de resposta automatizados.

### Recuperação

#### Execução do plano de recuperação de incidentes

Execute e mantenha processos de recuperação para restaurar sistemas e serviços afetados.

**Como a ManageEngine pode ajudar você**

- [AD360](https://www.manageengine.com/br/active-directory-360/?pos=NISTCybersecFramework)  
  Restaure objetos dos seus ambientes AD, Entra ID, Microsoft 365, Google Workspace, Exchange e Zoho WorkDrive.

- [Endpoint Central](https://www.manageengine.com/br/desktop-central/?pos=NISTCybersecFramework)  
  Faça cópias de sombra e reverta arquivos comprometidos.

- [Log360](https://www.manageengine.com/br/log-management/?pos=NISTCybersecFramework)  
  Interrompa ou inicie processos e altere regras automaticamente após um incidente.

#### Comunicação de recuperação de incidentes

Coordene as atividades de restauração com as partes interessadas internas e externas.

**Como a ManageEngine pode ajudar você**

- [Site24x7 StatusIQ](https://www.site24x7.com/statusiq/?pos=NISTCybersecFramework)  
  Mantenha todas as partes interessadas informadas sobre o status dos incidentes.

## Isenção de responsabilidade

A implementação completa do NIST Cybersecurity Framework exige uma variedade de soluções, processos, pessoas e tecnologias. As soluções mencionadas acima são algumas das maneiras pelas quais as ferramentas de gerenciamento de TI podem ajudar na sua implementação. Juntamente com outras soluções, processos e pessoas adequados, as soluções da ManageEngine ajudam a cumprir o NIST Cybersecurity Framework. Este material é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, com relação às informações contidas neste material.