Estrutura de gerenciamento de risco (RMF): uma visão geral

A Estrutura de gerenciamento de risco (Risk Management Framework, em inglês) é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, protegidos e monitorados. Originalmente desenvolvido pelo Departamento de Defesa (DoD), o RMF foi adotado por todos os sistemas de informação federais dos Estados Unidos, em 2010.

Hoje, o RMF é mantido pelo National Institute of Standards and Technology (NIST) e fornece uma base sólida para qualquer estratégia de segurança de dados.

O que é a Estrutura de gerenciamento de risco?
O elegantemente intitulado “NIST SP 800-37 Rev.1” define o RMF como um processo de seis etapas para arquitetar e projetar uma estrutura de segurança de dados para novos sistemas de TI e sugere as melhores práticas e procedimentos que cada agência federal deve seguir ao habilitar um novo sistema. Além do documento principal SP 800-37, o RMF usa os documentos suplementares SP 800-30, SP 800-A e SP 800-137.

Etapas da Estrutura de gerenciamento de risco:

Etapa 1 – Categorizar o sistema de informação
O Proprietário do Sistema de Informações atribui uma função de segurança ao novo sistema de TI com base em objetivos de missão e negócios. A função de segurança deve ser consistente com a estratégia de gerenciamento de risco da empresa.

Etapa 2 – Selecione os controles de segurança
Os controles de segurança do projeto são selecionados e aprovados pela liderança dos controles comuns e complementados por controles híbridos ou específicos do sistema. Os controles de segurança são o hardware, o software e os processo técnicos necessários para atender aos requisitos mínimos de garantia, conforme declarados na avaliação de riscos. Além disso, a agência deve desenvolver planos para o monitoramento contínuo do novo sistema durante essa etapa.

Etapa 3 – Implementar controles de segurança
Simplificando, coloque a etapa 2 em ação. Ao final desta etapa, a agência deve ter documentado e comprovado que os requisitos mínimos de garantia foram atingidos e demonstram o uso correto do sistema de informações e das metodologias de engenharia de segurança.

Etapa 4 – Avaliar os controles de segurança
Um avaliador independente analisa e aprova os controles de segurança, conforme implementado na Etapa 3. Se necessário, a agência pode abordar e remediar quaisquer falhas e deficiências encontradas pelo avaliador e documentar o plano de segurança.

Etapa 5 – Autorizar o sistema de informação
A agência deve apresentar um pacote de autorizações para avaliação e determinação de risco. O agente autorizador submete, então, a decisão de autorização a todas as partes necessárias.

Etapa 6 – Monitorar os controles de segurança
A agência continua a monitorar os controles de segurança atuais e os atualiza com base nas alterações do sistema ou do ambiente. A agência também informa regularmente sobre o status de segurança do sistema e corrige eventuais deficiências conforme for necessário.

Como a Varonis pode ajudá-lo a ser compatível?
O regulamento do NIST e o RMF (na verdade, muitos dos padrões de segurança de dados e regulamentos de conformidade) tem três áreas comuns:

– Identificar seus dados e sistemas sensíveis e em risco
– Proteger esses dados
– Monitorar e detectar o que acontece com os dados, quem os acessa e se há algum comportamento suspeito.

A Varonis analisa dados monitorados contra dezenas de modelos de ameaças.

O DatAdvantage monitora dados confidenciais e mapeia permissões de usuários, grupos e pastas para garantir que somente pessoas autorizadas tenham acesso aos dados.