Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

NIST CSF 2.0 Framework de segurança

106 controles, organizados por grupo, com resumo em português.

Fazer a avaliação

Framework do NIST para gerir risco de cibersegurança, organizado em 6 funções: Governar, Identificar, Proteger, Detectar, Responder e Recuperar. Serve para qualquer organização entender, priorizar e comunicar a sua postura de segurança.

Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.

Códigos e estrutura são oficiais do NIST CSF 2.0 (domínio público). Os resumos em português e a divisão em perfis são curadoria didática da InfoCuestaSec, não oficiais. Texto oficial (inglês) em /frameworks/NIST_CSF.

GV GOVERN (Governar)

  • GV.OC-01
    A missão da organização é compreendida e orienta as decisões de risco de segurança. Entender a missão da organização para que a segurança apoie o negócio, e não o contrário. Sem esse norte, investe-se em proteção que não importa.
    Intermediário
  • GV.OC-02
    As partes interessadas (internas e externas) e suas expectativas de segurança são compreendidas. Mapear quem tem interesse na organização (clientes, sócios, reguladores) e o que esperam em segurança. Ajuda a priorizar o que realmente importa.
    Intermediário
  • GV.OC-03
    Requisitos legais, regulatórios e contratuais de segurança e privacidade são compreendidos e geridos. Conhecer e cumprir as obrigações legais, regulatórias e contratuais de segurança e privacidade. O descumprimento gera multas e perda de contratos.
    Intermediário
  • GV.OC-04
    Objetivos e serviços críticos esperados por terceiros são compreendidos e comunicados. Saber quais serviços críticos os terceiros esperam de você. Permite proteger primeiro o que sustenta a confiança do mercado.
    Avançado
  • GV.OC-05
    As dependências externas das quais a organização depende são compreendidas e comunicadas. Entender de quem e de quê a organização depende para operar. Uma dependência externa que falha pode parar o seu negócio.
    Avançado
  • GV.OV-01
    Os resultados da estratégia de risco são revisados para informar ajustes. Revisar os resultados da estratégia de risco para ajustá-la. Fecha o ciclo entre planejar e aprender.
    Avançado
  • GV.OV-02
    A estratégia de gestão de risco é revisada e ajustada conforme necessário. Ajustar a estratégia de gestão de risco conforme necessário. O ambiente muda; a estratégia precisa acompanhar.
    Avançado
  • GV.OV-03
    O desempenho da gestão de risco é avaliado e revisado por métricas. Avaliar o desempenho da gestão de risco por métricas. Mostra se o esforço em segurança está dando resultado.
    Avançado
  • GV.PO-01
    Existe política de gestão de risco de segurança baseada no contexto da organização. Ter uma política de gestão de risco baseada no contexto da organização. É o documento que orienta todas as decisões.
    Intermediário
  • GV.PO-02
    A política de segurança é revisada, atualizada e comunicada periodicamente. Revisar, atualizar e comunicar a política periodicamente. Política desatualizada ou desconhecida não protege ninguém.
    Intermediário
  • GV.RM-01
    Objetivos de gestão de risco de segurança são definidos e acordados com as partes interessadas. Definir e acordar objetivos claros de gestão de risco com os líderes. Alinha todos sobre o que se quer alcançar com segurança.
    Intermediário
  • GV.RM-02
    Declarações de apetite e tolerância a risco são estabelecidas, comunicadas e mantidas. Declarar quanto risco a organização aceita correr (apetite e tolerância). Serve de régua para decidir o que tratar e o que aceitar.
    Intermediário
  • GV.RM-03
    A gestão de risco cibernético faz parte da gestão de riscos corporativa (ERM). Integrar o risco cibernético à gestão de riscos corporativa. Assim ele disputa atenção e recursos no mesmo nível dos demais riscos.
    Intermediário
  • GV.RM-04
    Há direção estratégica com opções de resposta a risco, estabelecida e comunicada. Ter uma direção estratégica com opções de resposta a risco. Evita decisões improvisadas caso a caso.
    Intermediário
  • GV.RM-05
    Existem linhas de comunicação sobre risco cibernético em toda a organização. Manter canais de comunicação sobre risco em toda a organização. Risco que não é comunicado não é tratado.
    Avançado
  • GV.RM-06
    Existe um método padronizado para calcular, documentar, categorizar e priorizar riscos. Usar um método padronizado para calcular, documentar e priorizar riscos. Permite comparar riscos de forma justa e consistente.
    Avançado
  • GV.RM-07
    Oportunidades estratégicas (riscos positivos) são caracterizadas e consideradas. Considerar também as oportunidades (riscos positivos), não só ameaças. Segurança bem feita pode virar vantagem competitiva.
    Avançado
  • GV.RR-01
    A liderança é responsável e presta contas pelo risco cibernético e promove cultura de segurança. A liderança assume a responsabilidade pela segurança e promove cultura de risco. Sem dono no topo, nada avança.
    Intermediário
  • GV.RR-02
    Papéis, responsabilidades e autoridades de segurança são definidos, comunicados e cobrados. Definir claramente papéis, responsabilidades e autoridades de segurança. Evita o 'achei que era o outro que fazia'.
    Intermediário
  • GV.RR-03
    Recursos adequados são alocados de acordo com a estratégia de risco. Alocar recursos (pessoas, verba, ferramentas) compatíveis com o risco. Exigir segurança sem recursos é cobrança vazia.
    Intermediário
  • GV.RR-04
    Segurança é incluída nas práticas de RH (admissão, mudança e desligamento). Incluir segurança nas práticas de RH — admissão, mudança e desligamento. Sair sem revogar acessos é risco comum.
    Intermediário
  • GV.SC-01
    Existe um programa e estratégia de gestão de risco da cadeia de suprimentos, com acordo das partes. Ter um programa de risco da cadeia de suprimentos acordado com as partes. Boa parte dos ataques hoje entra por fornecedores.
    Avançado
  • GV.SC-02
    Papéis de segurança para fornecedores, clientes e parceiros são definidos e comunicados. Definir papéis de segurança para fornecedores, clientes e parceiros. Cada um precisa saber sua responsabilidade.
    Avançado
  • GV.SC-03
    A gestão de risco da cadeia de suprimentos é integrada à segurança e ao ERM. Integrar o risco da cadeia à gestão de risco geral. Não tratar terceiro como um mundo à parte.
    Avançado
  • GV.SC-04
    Fornecedores são conhecidos e priorizados por criticidade. Conhecer e priorizar os fornecedores por criticidade. Nem todo fornecedor merece o mesmo nível de exigência.
    Avançado
  • GV.SC-05
    Requisitos de segurança para a cadeia de suprimentos constam de contratos e acordos. Colocar requisitos de segurança em contratos com a cadeia. O que não está no contrato é difícil de exigir depois.
    Avançado
  • GV.SC-06
    Due diligence e planejamento reduzem riscos antes de formalizar relações com terceiros. Fazer due diligence e planejamento antes de fechar com terceiros. Prevenir é mais barato que remediar.
    Avançado
  • GV.SC-07
    Os riscos de fornecedores e terceiros são compreendidos, priorizados e monitorados ao longo da relação. Entender, priorizar e monitorar os riscos dos fornecedores ao longo da relação. O risco do terceiro muda com o tempo.
    Avançado
  • GV.SC-08
    Fornecedores e terceiros relevantes participam do planejamento e da resposta a incidentes. Incluir fornecedores e terceiros no planejamento e resposta a incidentes. Muitos incidentes envolvem a cadeia.
    Avançado
  • GV.SC-09
    Práticas de segurança da cadeia de suprimentos são integradas ao ciclo de vida das soluções. Integrar práticas de segurança da cadeia ao ciclo de vida das soluções. Segurança desde o começo, não como remendo.
    Avançado
  • GV.SC-10
    Os planos de risco da cadeia incluem ações para o encerramento da relação (fim de contratos). Prever no plano ações para o encerramento da relação com o fornecedor. Saída mal feita deixa acessos e dados soltos.
    Avançado

ID IDENTIFY (Identificar)

  • ID.AM-01
    Inventário do hardware gerenciado pela organização é mantido. Manter inventário do hardware da organização. Não dá para proteger equipamentos que você nem sabe que existem.
    Básico
  • ID.AM-02
    Inventário de software, serviços e sistemas é mantido. Manter inventário de software, serviços e sistemas. Software desconhecido é vulnerabilidade escondida.
    Básico
  • ID.AM-03
    A comunicação de rede autorizada e os fluxos de dados internos e externos são mapeados. Mapear a comunicação de rede autorizada e os fluxos de dados. Ajuda a detectar tráfego anormal e limitar o alcance de ataques.
    Avançado
  • ID.AM-04
    Inventário dos serviços prestados por fornecedores é mantido. Manter inventário dos serviços prestados por fornecedores. Você depende deles e precisa saber o que são.
    Avançado
  • ID.AM-05
    Ativos são priorizados por classificação, criticidade e impacto no negócio. Priorizar os ativos por classificação, criticidade e impacto no negócio. Protege-se primeiro o que mais importa.
    Básico
  • ID.AM-07
    Inventário de dados e metadados dos tipos de dados designados é mantido. Manter inventário dos dados e metadados dos tipos designados. Saber onde estão os dados é pré-requisito para protegê-los.
    Intermediário
  • ID.AM-08
    Ativos (sistemas, dados, software) são geridos por todo o seu ciclo de vida. Gerir os ativos por todo o ciclo de vida, da aquisição ao descarte. Ativo esquecido no fim da vida vira brecha.
    Intermediário
  • ID.IM-01
    Melhorias são identificadas a partir de avaliações. Identificar melhorias a partir de avaliações. Aprender com o que se mede.
    Avançado
  • ID.IM-02
    Melhorias são identificadas a partir de testes e exercícios de segurança. Identificar melhorias a partir de testes e exercícios de segurança. Simular falhas revela o que corrigir.
    Avançado
  • ID.IM-03
    Melhorias são identificadas na execução dos processos operacionais. Identificar melhorias na execução dos processos do dia a dia. A operação mostra onde o processo trava.
    Avançado
  • ID.IM-04
    Planos de resposta a incidentes e de continuidade são estabelecidos, testados e mantidos. Estabelecer, testar e manter planos de resposta e continuidade. Plano nunca testado costuma falhar na hora H.
    Intermediário
  • ID.RA-01
    Vulnerabilidades nos ativos são identificadas, validadas e registradas. Identificar, validar e registrar as vulnerabilidades dos ativos. É o primeiro passo para corrigi-las.
    Básico
  • ID.RA-02
    Inteligência de ameaças é recebida de fóruns e fontes de compartilhamento. Receber inteligência de ameaças de fontes e fóruns. Saber o que os atacantes andam fazendo ajuda a se preparar.
    Avançado
  • ID.RA-03
    Ameaças internas e externas à organização são identificadas e registradas. Identificar e registrar ameaças internas e externas. Conhecer o adversário orienta a defesa.
    Intermediário
  • ID.RA-04
    Impactos e probabilidades de ameaças explorarem vulnerabilidades são identificados. Identificar os impactos e probabilidades das ameaças. Base para dimensionar o risco.
    Intermediário
  • ID.RA-05
    Ameaças, vulnerabilidades, probabilidades e impactos são usados para entender o risco e priorizar. Combinar ameaças, vulnerabilidades, probabilidade e impacto para entender o risco e priorizar. Transforma dados soltos em decisão.
    Intermediário
  • ID.RA-06
    Respostas a risco são escolhidas, priorizadas, planejadas, acompanhadas e comunicadas. Escolher, priorizar, planejar e acompanhar as respostas a risco. Sem acompanhamento, o plano vira gaveta.
    Intermediário
  • ID.RA-07
    Mudanças e exceções são geridas, avaliadas quanto a risco e registradas. Gerir mudanças e exceções avaliando o risco de cada uma. Mudança sem avaliação é fonte comum de incidente.
    Intermediário
  • ID.RA-08
    Há processo para receber, analisar e responder a divulgações de vulnerabilidades. Ter processo para receber e responder a divulgações de vulnerabilidades. Alguém de fora pode achar uma falha antes de você.
    Avançado
  • ID.RA-09
    Autenticidade e integridade de hardware e software são avaliadas antes da aquisição e uso. Avaliar a autenticidade e integridade de hardware e software antes de usar. Componente adulterado é ataque de cadeia.
    Avançado
  • ID.RA-10
    Fornecedores críticos são avaliados antes da contratação. Avaliar fornecedores críticos antes de contratar. O risco entra junto com o contrato.
    Avançado

PR PROTECT (Proteger)

  • PR.AA-01
    Identidades e credenciais de usuários, serviços e dispositivos são geridas. Gerir identidades e credenciais de usuários, serviços e dispositivos. É a base de saber quem é quem.
    Básico
  • PR.AA-02
    Identidades são comprovadas e vinculadas a credenciais conforme o risco. Comprovar a identidade antes de vincular credenciais, conforme o risco. Evita que alguém se passe por outro.
    Intermediário
  • PR.AA-03
    Usuários, serviços e dispositivos são autenticados. Autenticar usuários, serviços e dispositivos. Confirma que quem acessa é quem diz ser.
    Básico
  • PR.AA-04
    Asserções de identidade (ex.: tokens, SSO) são protegidas e verificadas. Proteger e verificar as asserções de identidade (tokens, SSO). Falha aqui compromete todo o acesso.
    Avançado
  • PR.AA-05
    Permissões e acessos seguem política, menor privilégio e segregação de funções. Definir acessos por política, com menor privilégio e segregação de funções. Reduz o estrago de uma conta comprometida.
    Básico
  • PR.AA-06
    O acesso físico aos ativos é gerido, monitorado e controlado. Gerir e monitorar o acesso físico aos ativos. Quem entra na sala pode burlar controles digitais.
    Básico
  • PR.AT-01
    Todo o pessoal recebe conscientização e treinamento de segurança. Dar conscientização e treinamento de segurança a todo o pessoal. O usuário é o alvo mais comum.
    Básico
  • PR.AT-02
    Pessoas em papéis especializados recebem treinamento específico. Dar treinamento específico a quem tem papéis especializados. Admin e desenvolvedor precisam saber mais.
    Intermediário
  • PR.DS-01
    Dados em repouso são protegidos em confidencialidade, integridade e disponibilidade (ex.: criptografia). Proteger os dados em repouso (ex.: criptografia). Disco roubado sem criptografia é vazamento certo.
    Básico
  • PR.DS-02
    Dados em trânsito são protegidos (ex.: TLS). Proteger os dados em trânsito (ex.: TLS). Sem isso, dados podem ser interceptados na rede.
    Básico
  • PR.DS-10
    Dados em uso são protegidos. Proteger os dados em uso (enquanto processados). É a fronteira mais nova e difícil da proteção de dados.
    Avançado
  • PR.DS-11
    Backups dos dados são criados, protegidos, mantidos e testados. Criar, proteger e testar backups dos dados. É a última linha contra ransomware e perda.
    Básico
  • PR.IR-01
    Redes e ambientes são protegidos contra acesso lógico não autorizado (segmentação, firewall). Proteger redes e ambientes contra acesso lógico não autorizado (segmentação, firewall). Dificulta o atacante se mover.
    Básico
  • PR.IR-02
    Ativos de tecnologia são protegidos contra ameaças ambientais (energia, clima). Proteger os ativos contra ameaças ambientais (energia, clima). Falha física também para o negócio.
    Avançado
  • PR.IR-03
    Mecanismos de resiliência são implementados para operação normal e adversa. Implementar mecanismos de resiliência para operação normal e sob ataque. Manter o essencial funcionando mesmo na crise.
    Intermediário
  • PR.IR-04
    Capacidade de recursos adequada para garantir disponibilidade é mantida. Manter capacidade de recursos adequada para garantir disponibilidade. Falta de capacidade também é indisponibilidade.
    Intermediário
  • PR.PS-01
    Práticas de gestão de configuração (baseline segura) são estabelecidas e aplicadas. Estabelecer e aplicar gestão de configuração (baseline segura). Configuração padrão costuma ser insegura.
    Básico
  • PR.PS-02
    Software é mantido e atualizado (patches) conforme o risco. Manter e atualizar software conforme o risco (patches). Falha conhecida sem patch é convite ao ataque.
    Básico
  • PR.PS-03
    Hardware é mantido e substituído conforme o risco. Manter e substituir hardware conforme o risco. Equipamento sem suporte não recebe correção.
    Intermediário
  • PR.PS-04
    Registros de log são gerados e disponibilizados para monitoramento contínuo. Gerar logs e disponibilizá-los para monitoramento contínuo. Sem log, não se detecta nem se investiga.
    Básico
  • PR.PS-05
    A instalação e execução de software não autorizado são impedidas. Impedir a instalação e execução de software não autorizado. Barra malware e programas de risco.
    Básico
  • PR.PS-06
    Práticas de desenvolvimento seguro (Secure SDLC) são integradas e monitoradas. Integrar práticas de desenvolvimento seguro (Secure SDLC). Corrigir no design é muito mais barato que em produção.
    Avançado

DE DETECT (Detectar)

  • DE.AE-02
    Eventos potencialmente adversos são analisados para entender a atividade associada. Analisar eventos adversos para entender o que está acontecendo. Um alerta isolado precisa de contexto.
    Intermediário
  • DE.AE-03
    Informações são correlacionadas a partir de múltiplas fontes. Correlacionar informações de várias fontes. Juntar as peças revela o ataque que uma fonte só não mostra.
    Intermediário
  • DE.AE-04
    O impacto e o escopo estimados dos eventos adversos são compreendidos. Estimar o impacto e o alcance dos eventos adversos. Ajuda a decidir a urgência da resposta.
    Intermediário
  • DE.AE-06
    Informação sobre eventos adversos é fornecida a pessoas e ferramentas autorizadas. Fornecer informação sobre eventos a pessoas e ferramentas autorizadas. A informação certa acelera a resposta.
    Avançado
  • DE.AE-07
    Inteligência de ameaças e informações de contexto são integradas à análise. Integrar inteligência de ameaças e contexto à análise. Enriquece a detecção com o que se sabe do adversário.
    Avançado
  • DE.AE-08
    Incidentes são declarados quando os eventos atendem aos critérios definidos. Declarar incidentes quando os eventos atingem os critérios definidos. Marca o momento de acionar a resposta formal.
    Intermediário
  • DE.CM-01
    Redes e serviços de rede são monitorados para encontrar eventos adversos. Monitorar redes e serviços para achar eventos adversos. É como perceber que algo está errado.
    Básico
  • DE.CM-02
    O ambiente físico é monitorado para encontrar eventos adversos. Monitorar o ambiente físico em busca de eventos adversos. Câmeras e sensores complementam o digital.
    Avançado
  • DE.CM-03
    Atividade de pessoal e uso de tecnologia são monitorados para detectar eventos adversos. Monitorar a atividade do pessoal e o uso de tecnologia. Ajuda a detectar abuso e comprometimento de contas.
    Avançado
  • DE.CM-06
    Atividades e serviços de provedores externos são monitorados. Monitorar as atividades e serviços de provedores externos. O risco do terceiro também precisa ser observado.
    Avançado
  • DE.CM-09
    Hardware, software, ambientes de execução e seus dados são monitorados. Monitorar hardware, software e ambientes de execução e seus dados. Cobre a superfície onde os ataques acontecem.
    Intermediário

RS RESPOND (Responder)

  • RS.AN-03
    Análise é feita para estabelecer o que ocorreu durante o incidente. Analisar o incidente para estabelecer o que aconteceu. Sem entender, não se corrige a causa.
    Intermediário
  • RS.AN-06
    As ações da investigação são registradas e a integridade dos registros é preservada. Registrar as ações da investigação preservando sua integridade. Vira evidência e memória do caso.
    Avançado
  • RS.AN-07
    Dados e metadados do incidente são coletados com integridade e proveniência preservadas. Coletar dados e metadados do incidente com integridade e proveniência. Base para análise e eventual processo.
    Avançado
  • RS.AN-08
    A magnitude do incidente é estimada e validada. Estimar e validar a magnitude do incidente. Dimensiona o dano e a resposta.
    Intermediário
  • RS.CO-02
    Partes interessadas internas e externas são notificadas dos incidentes. Notificar as partes interessadas internas e externas sobre os incidentes. Comunicar a tempo reduz o dano e cumpre obrigações.
    Básico
  • RS.CO-03
    Informação é compartilhada com as partes interessadas designadas. Compartilhar informação com as partes designadas. Coordenação melhora a resposta coletiva.
    Intermediário
  • RS.MA-01
    O plano de resposta a incidentes é executado, em coordenação com terceiros quando aplicável. Executar o plano de resposta a incidentes, com terceiros quando preciso. Coloca em prática o que foi planejado.
    Básico
  • RS.MA-02
    Relatos de incidentes são triados e validados. Triar e validar os relatos de incidentes. Separa alarme falso de incidente real.
    Básico
  • RS.MA-03
    Incidentes são categorizados e priorizados. Categorizar e priorizar os incidentes. Nem todo incidente merece a mesma urgência.
    Intermediário
  • RS.MA-04
    Incidentes são escalados ou elevados conforme necessário. Escalar os incidentes conforme necessário. Casos graves precisam chegar rápido a quem decide.
    Intermediário
  • RS.MA-05
    Os critérios para iniciar a recuperação de incidentes são aplicados. Aplicar os critérios para iniciar a recuperação. Define quando é hora de voltar ao normal.
    Intermediário
  • RS.MI-01
    Incidentes são contidos. Conter os incidentes. Impede que o problema se espalhe.
    Básico
  • RS.MI-02
    Incidentes são erradicados. Erradicar os incidentes. Remove a causa e o acesso do atacante.
    Básico

RC RECOVER (Recuperar)

  • RC.CO-03
    As atividades de recuperação são comunicadas às partes interessadas internas e externas. Comunicar as atividades de recuperação às partes interessadas. Mantém todos informados durante a volta.
    Intermediário
  • RC.CO-04
    Atualizações públicas sobre a recuperação são compartilhadas por métodos aprovados. Compartilhar atualizações públicas sobre a recuperação por métodos aprovados. Protege a reputação com comunicação controlada.
    Avançado
  • RC.RP-01
    A parte de recuperação do plano de resposta a incidentes é executada. Executar a parte de recuperação do plano de resposta. Coloca o negócio de volta de pé.
    Básico
  • RC.RP-02
    Ações de recuperação são selecionadas, priorizadas e executadas. Selecionar, priorizar e executar as ações de recuperação. Restaurar primeiro o que é mais crítico.
    Intermediário
  • RC.RP-03
    A integridade dos backups é verificada antes da restauração. Verificar a integridade dos backups antes de restaurar. Restaurar backup corrompido ou infectado piora tudo.
    Básico
  • RC.RP-04
    Funções críticas do negócio são consideradas na priorização da recuperação. Considerar as funções críticas do negócio na priorização. Volta primeiro o que sustenta a operação.
    Intermediário
  • RC.RP-05
    A integridade dos ativos restaurados é verificada e a normalidade é confirmada. Verificar a integridade dos ativos restaurados e confirmar a normalidade. Garante que voltou de verdade e limpo.
    Intermediário
  • RC.RP-06
    O fim da recuperação é declarado por critérios e a documentação é concluída. Declarar o fim da recuperação por critérios e concluir a documentação. Fecha o incidente de forma organizada.
    Intermediário