Como o IAM se insere no contexto do NIST CSF 2.0? Por Regina Tupinambá
1 de abril de 2024O National Institute of Standards and Technology (NIST) dos Estados Unidos lançou recentemente a versão 2.0 do seu Cybersecurity Framework – CSF 2.0
Este framework serve como uma referência valiosa para organizações que desejam reforçar suas defesas cibernéticas. Uma adição significativa nesta nova versão é a orientação sobre gestão de identidade e autenticação
Por Regina Tupinambá
O NIST Cybersecurity Framework (CSF) 2.0 foi lançado em 26 de fevereiro de 2024, data em que o NIST dos EUA anunciou a versão final após um período de revisão pública iniciado em agosto de 2023. Esta nova versão constitui uma atualização importante do CSF original de 2014, integrando as melhores práticas e as lições aprendidas ao longo dos últimos anos é amplamente utilizado como documento de orientação para a redução de riscos cibernéticos.
A nova versão 2.0 é destinada a uma ampla gama de públicos, abrangendo todos os setores industriais e tipos de organizações, desde pequenas escolas e entidades sem fins lucrativos até grandes corporações e agências governamentais, independentemente do nível de maturidade em segurança cibernética.
O NIST Cybersecurity Framework (CSF) 2.0 é um guia abrangente e voluntário desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos. O objetivo do CSF é auxiliar as organizações de todos os portes e setores a gerenciar e reduzir seus riscos de segurança cibernética.
A versão 2.0 do NIST Cyber Security Framework representa um passo importante para a segurança cibernética. Com sua orientação sobre gerenciamento de identidade e autenticação, ele oferece às organizações uma ferramenta valiosa para fortalecer suas defesas cibernéticas.
Estrutura Básica do CSF 2.0, NIST Cyber Security Framework 2.0
O NIST Cyber Security Framework 2.0 é composto por três componentes principais: o Core, os Perfis e a Autoavaliação.
PERFIS
CORE
AUTOAVALIAÇÃO
O Core fornece um conjunto de atividades desejáveis para a cibersegurança, os Perfis ajudam as organizações a priorizar essas atividades com base em suas necessidades de negócios e a Autoavaliação oferece uma metodologia para avaliar o desempenho atual e desejado.
Gerenciamento de Identidade e Autenticação
A nova orientação sobre gerenciamento de identidade e autenticação no CSF 2.0 é uma adição significativa ao Framework. Ela reconhece a importância das identidades digitais na segurança cibernética e fornece diretrizes para sua gestão eficaz.
As identidades digitais são uma parte crucial da segurança cibernética. Elas são usadas para autenticar usuários e dispositivos, permitindo o acesso a recursos de TI. Um gerenciamento de identidade eficaz pode ajudar a prevenir o acesso não autorizado e a reduzir o risco de ataques cibernéticos.
Impacto na Indústria
A inclusão de orientações sobre gerenciamento de identidade e autenticação no NIST CSF 2.0 tem o potencial de ter um impacto significativo na indústria. As organizações podem usar essas diretrizes para melhorar suas práticas de segurança cibernética e proteger melhor suas informações e sistemas.
Além disso, a adoção dessas diretrizes pode levar a um aumento na demanda por soluções de gerenciamento de identidade. Isso pode resultar em novas oportunidades para fornecedores de soluções de segurança cibernética.
Os principais desafios no gerenciamento de identidade incluem
- Processo de integração demorado: A criação de contas de usuário e a definição de direitos de acesso podem ser tarefas demoradas e propensas a erros.
- Processo de solicitação de alteração do usuário lento: Quando as funções ou responsabilidades dos funcionários mudam, os administradores precisam editar as propriedades de suas contas, o que pode ser um processo lento.
- Concessão de privilégios inapropriados aos usuários: Os administradores às vezes concedem privilégios adicionais para acessar servidores de arquivos críticos para fins específicos e, em seguida, esquecem de retirar esses privilégios excessivos.
- Proteção de dados: A proteção de dados é um desafio significativo na implementação do gerenciamento de identidade e acesso (IAM).
- Integração com sistemas legados: A integração com sistemas legados pode ser um desafio, especialmente ao mover para a nuvem.
- Cumprimento das regulamentações: O cumprimento de regulamentações como a LGPD é outro desafio importante.
- Qualidade da mão de obra DevOps: As equipes de IAM precisam estar familiarizadas com várias arquiteturas de nuvem.
As soluções de Gerenciamento de Identidade e Acesso (IAM) podem ajudar de várias maneiras:
Controle de Acesso, Autenticação Multifator, Visibilidade e Controle Centralizado, Detecção de Atividade Suspeita, Eficiência e Produtividade e Conformidade com Regulamentações.
As soluções de Gerenciamento de Identidade e Acesso (IAM) possibilitam que as organizações exerçam um controle mais estrito sobre o acesso aos seus sistemas e recursos internos. Isso é fundamental para prevenir ataques cibernéticos, tais como roubo de dados, invasões e fraudes.
A solução permite a implementação de autenticação multifatorial, aumentando significativamente a segurança.
As soluções de IAM são criadas para oferecer às empresas visibilidade e controle centralizados, possibilitando a medição e o monitoramento ativo dos riscos associados ao sistema que faz a correspondência entre usuários e recursos além de permirem verificar e gerenciar identidades, detectar atividade suspeita e relatar incidentes, tudo o que é necessário para atender a requisitos de conformidade.
Quando implementado corretamente, o IAM é fundamental para garantir a produtividade dos negócios e a operação suave de sistemas digitais. Ele permite que os funcionários trabalhem de forma contínua, independentemente de sua localização, enquanto o gerenciamento centralizado assegura o acesso aos recursos necessários para suas funções.
As soluções de IAM ajudam organizações a atender regulamentos de segurança e privacidade. Esses benefícios ressaltam a importância das soluções de IAM na segurança cibernética contemporânea. Os desafios sublinham a complexidade do gerenciamento de identidades e a necessidade de soluções eficientes para superá-los. Assim, escolher um fornecedor que ofereça suporte adequado é crucial para o sucesso de projetos de gestão de identidades e controle de acesso.
Acompanhe o Crypto ID para conhecer as melhores soluções sobre e CIAM – Gerenciamento de Acesso à Identidade do Cliente, IAM – Gerenciamento de Identidade e Acesso, IGA – Administração de Governança de Identidade, PAM – Gerenciamento de Acesso de Privilégios, Proteção De Dados e Governança e RPA – Automação Robótica de Processos. Acesse nossa coluna sobre Identidade e Acesso aqui!I
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
ASSA ABLOY Controle de Acesso e Mercury apresentam controladores com foco em cibersegurança
Regina Tupinambá | CCO – Chief Content Officer – Crypto ID. Publicitária formada pela PUC Rio. Como publicitária atuou em empresas nacionais e internacionais atendendo marcas de grande renome. Em 1999, migrou sua atuação para empresas do universo de segurança digital onde passou ser a principal executiva das áreas comercial e marketing em uma Autoridade Certificadora Brasileira. Acompanhou a criação da AC Raiz da ICP-Brasil e participou diretamente da implementação e homologação de inúmeras Autoridades Certificadoras. Foi, também, responsável pelo desenvolvimento do mercado de SSL no Brasil. É CEO da Insania Publicidade e como CCO do Portal Crypto ID dirige a área de conteúdo do Portal desde 2014. Acesse seu LinkedIn.
Leia outros artigos escritos por Regina, aqui!
Demanda crescente por sistemas MDR: Proteção avançada contra ameaças cibernéticas
FIDO redefine a segurança online com a autenticação sem senhas