Últimas notícias

Fique informado

Profissionais da InfoSe: O NIST dá orientação sobre como medir e melhorar o programa de segurança cibernética

18 de janeiro de 2024

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Thales aponta tendências da cibersegurança na AL

Para a Thales, estes números indicam que, embora a região continue a apresentar taxas de violação mais altas que as médias, os aumentos não são significativos

5 de julho de 2023

Cibersegurança, uma carreira com várias oportunidades

Isso fez com que a cibersegurança se tornasse uma necessidade fundamental para empresas de todos os tipos e também governos

28 de junho de 2023

Setor de cibersegurança no mundo todo paga bem e demanda mais de 3 milhões profissionais no mundo todo

O mercado de cibersegurança é um setor repleto de oportunidades profissionais, não apenas pela demanda, mas também pelos altos salários

13 de junho de 2023

Blockbit anuncia novidades em sua plataforma de cibersegurança

Plataforma passar a contar com DNS Content Filtering e Suporte Wireless Modo AP para ampliar a segurança cibernética dos negócios

13 de junho de 2023

Conhecido como “sommelier da cibersegurança”, Anchises Moraes passa a integrar o time da Apura

Anchises Moraes, Cyber Threat Intelligence Lead na Apura. Parceria visa novas formas de aprimorar as soluções oferecidas pela empresa.

22 de maio de 2023

Rascunho de publicação do NIST oferece orientação sobre como organizações podem medir eficácia de seus programas de segurança da informação

Imagine que você é o novo chefe de segurança cibernética da sua empresa. Sua equipe começou bem a montar defesas para afastar hackers e ataques de ransomware.

À medida que as ameaças à segurança cibernética continuam a aumentar, você precisa mostrar melhorias ao longo do tempo para seu CEO e clientes. Como você mede seu progresso e o apresenta usando detalhes numéricos significativos?

Você pode querer um roteiro para criar um programa prático de medição de segurança da informação, e você o encontrará em diretrizes de rascunho recém-revisadas do National Institute of Standards and Technology (NIST).

O documento de dois volumes, cujo título geral é NIST Special Publication (SP) 800-55 Revision 2: Measurement Guide for Information Security, oferece orientação sobre o desenvolvimento de um programa eficaz e uma abordagem flexível para desenvolver medidas de segurança da informação para atender às metas de desempenho da sua organização. O NIST está pedindo comentários públicos sobre este rascunho público inicial até 18 de março de 2024.

A publicação foi projetada para ser usada em conjunto com qualquer estrutura de gerenciamento de risco, como a Estrutura de Segurança Cibernética do NIST ou a Estrutura de Gerenciamento de Risco.

Destina-se a ajudar as organizações a passar de declarações gerais sobre o nível de risco para um quadro mais coerente baseado em dados concretos.

“Todos gerenciam o risco, mas muitas organizações tendem a usar descrições qualitativas de seu nível de risco, usando ideias como cores de semáforo ou escalas de cinco pontos”, disse Katherine Schroeder, do NIST, uma das autoras da publicação. “Nosso objetivo é ajudar as pessoas a se comunicarem com dados em vez de conceitos vagos.”

Alcançar esse objetivo, segundo os autores, envolve passar de descrições qualitativas de risco — talvez usando categorias amplas como alto, médio ou baixo nível de risco — para quantitativas que carregam menos ambiguidade e subjetividade.

Um exemplo disso seria a afirmação de que 98% das contas de usuários autorizados do sistema pertencem a funcionários atuais e 2% a ex-funcionários.

A equipe desenvolveu o novo rascunho de orientação em parte em resposta a solicitações públicas e feedback de um pré-rascunho de chamada para comentários.

Grande parte desse feedback citou o aumento da disponibilidade de dados relacionados à segurança, juntamente com a incerteza sobre como colocar esses dados em uso efetivo.

Embora a orientação resultante não seja prescritiva, Schroeder disse que sua abordagem personalizada significa que pode ajudar uma variedade de organizações a criar e, em seguida, melhorar um programa de medição de segurança da informação que seja adequado para elas.

“Queremos que as pessoas consigam descobrir o processo do que medir. Você não precisa necessariamente processar todos os números”, disse ela.

“Por exemplo, você pode querer descobrir se sua organização está respondendo a incidentes adequadamente e pode considerar fatores como seu tempo de resposta e impacto na missão ou no negócio, como horas adicionais da equipe, recursos necessários ou impacto nos resultados. Então você pode apresentar essas informações de uma maneira que faça sentido, mesmo que você não seja um estatístico – para que você possa descobrir como fazer melhor.”

Os dois volumes são voltados para públicos diferentes dentro de uma organização. O primeiro, escrito principalmente para especialistas em segurança da informação, fornece orientação sobre como uma organização pode priorizar, selecionar e avaliar medidas específicas para determinar a adequação da segurança que já está em vigor. 

O segundo, voltado principalmente para o C-suite, descreve como uma organização pode desenvolver um programa de medição de segurança da informação e oferece um fluxo de trabalho de várias etapas para implementá-lo ao longo do tempo.

Os autores apontam que as descrições qualitativas são apropriadas em certas circunstâncias, e que algumas organizações podem querer usar uma mistura de abordagens qualitativas e quantitativas.

Mas focar na medição pode ajudar a comunicação dentro de uma organização, potencialmente ajudando a melhorar a segurança e a alocação de recursos.

“Quando as equipes técnicas se comunicam com a gerência sobre segurança da informação, as métricas fornecem uma linguagem comum, usando tendências e números para preencher lacunas no entendimento”, escrevem os autores.

“As organizações querem ser capazes de avaliar se os controles, políticas e procedimentos estão funcionando de forma eficaz e eficiente e como a organização é impactada. As métricas podem ser usadas para ajudar a priorizar áreas de crescimento, melhoria ou redirecionamento de recursos.”

Nas Notas aos Revisores, o NIST propõe o estabelecimento de uma Comunidade de Interesse (CoI) para que os interessados em medição de segurança da informação trabalhem juntos para compartilhar conhecimentos, refinar o corpo de conhecimento e recursos e identificar oportunidades de crescimento e melhoria.

Indivíduos e organizações interessados em participar do Information Security Measurement CoI ou enviar comentários sobre o rascunho de dois volumes devem enviar um e-mail cyber-measures@list.nist.gov.

Ferramenta NIST tornará artigos de pesquisa pesados em matemática mais fáceis de visualizar on-line

As batalhas de segurança cibernética em 2024: IA, Veículos Elétricos, IoT e mais

TCS aponta tendências de segurança cibernética para 2024

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.

TAGS

NIST