# NIST Cybersecurity Framework 2.0 > [!abstract] Síntese > O NIST Cybersecurity Framework (CSF) 2.0, públicado em fevereiro de 2024, é a principal atualização em 10 anos do framework de referência global para gestão de risco cibernético. A versão 2.0 adiciona uma sexta função - **Govern** - elevando a governança ao mesmo nível das funções operacionais. O CSF é voluntário, orientado a resultados, e reconhecido internacionalmente como base para programas de segurança em qualquer setor. No Brasil, o CSF serve como estrutura de referência para aténder simultaneamente à [[lgpd|LGPD]], à [[bacen-4893|BACEN Res. 4893]] e a requisitos de contratos com empresas americanas. --- ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## As 6 Funções do CSF 2.0 ```mermaid graph TB CSF["🏛️ NIST CSF 2.0<br/>Cybersecurity Framework"] CSF --> GV["🏛️ GOVERN<br/>Governança e<br/>gestão de risco"] CSF --> ID["🔍 IDENTIFY<br/>Inventário de ativos<br/>e contexto"] CSF --> PR["🛡️ PROTECT<br/>Controles preventivos<br/>e mitigações"] CSF --> DE["👁️ DETECT<br/>Monitoramento<br/>e detecção de eventos"] CSF --> RS["⚡ RESPOND<br/>Resposta a<br/>incidentes"] CSF --> RC["🔄 RECOVER<br/>Recuperação<br/>e restauração"] GV -.-> ID GV -.-> PR GV -.-> DE GV -.-> RS GV -.-> RC style CSF fill:#1a1a2e,stroke:#e94560,color:#fff style GV fill:#16213e,stroke:#9b59b6,color:#fff style ID fill:#16213e,stroke:#3498db,color:#fff style PR fill:#16213e,stroke:#27ae60,color:#fff style DE fill:#16213e,stroke:#f39c12,color:#fff style RS fill:#16213e,stroke:#e74c3c,color:#fff style RC fill:#16213e,stroke:#1abc9c,color:#fff ``` > As linhas pontilhadas representam a função **Govern** como habilitadora transversal de todas as demais funções. --- ## Detalhamento das 6 Funções ### GOVERN - Governança (Nova no CSF 2.0) A principal inovação da versão 2.0. Cobre: - Estratégia de segurança e tolerância a riscos - Papéis, responsabilidades e autoridades de cibersegurança - Supervisão executiva (board-level oversight) - Gestão de riscos de terceiros e cadeia de suprimentos Esta função reconhece que cibersegurança é uma **decisão de negócio**, não apenas técnica. ### IDENTIFY - Identificar Desenvolver compreensão organizacional para gerenciar o risco: - Gestão de ativos (hardware, software, dados, sistemas) - Avaliação de riscos (threat modeling, vulnerabilidades) - Análise do ambiente de negócio - Gestão de riscos da cadeia de suprimentos ### PROTECT - Proteger Implementar salvaguardas para limitar o impacto de incidentes: - Gestão de identidade e acesso (IAM) - Conscientização e treinamento - Segurança de dados - Manutenção e proteção de plataformas - Resiliência tecnológica Alinhamento com [[_mitigations|mitigações ATT&CK]]: controles de acesso ([[m1032-multi-factor-authentication|MFA]], [[m1026-privileged-account-management|PAM]]), proteção de endpoints ([[m1049-antivirusantimalware|AV/EDR]]). ### DETECT - Detectar Definir e implementar atividades para identificar eventos de segurança: - Monitoramento contínuo (SIEM, EDR, NDR) - Análise de anomalias e eventos - Processos de detecção de incidentes Alinhamento com [[_detections|detecções ATT&CK]] e [[_data-sources|data sources]]. ### RESPOND - Responder Agir diante de eventos de segurança detectados: - Planejamento de resposta a incidentes - Comúnicação e notificação - Análise e mitigação - Melhoria pós-incidente (lições aprendidas) ### RECOVER - Recuperar Restaurar capacidades ou serviços impactados por incidentes: - Planejamento de recuperação - Comúnicação durante a recuperação - Melhoria de planos pós-incidente --- ## CSF 1.1 vs CSF 2.0 - Principais Mudanças | Aspecto | CSF 1.1 (2018) | CSF 2.0 (2024) | | ------- | -------------- | --------------- | | Funções | 5 (ID, PR, DE, RS, RC) | 6 (+GOVERN) | | Foco original | Infraestrutura crítica | Qualquer organização | | Governança | Implícita em ID | Função dedicada (GV) | | Supply chain | Menção básica | Função explícita em GV | | Perfis | Conceito introduzido | Expandido com templates | | Tiers | 4 níveis de maturidade | Mantidos, melhor explicados | | Recursos online | Limitados | CSF Reference Tool expandido | --- ## Níveis de Implementação (Tiers) O CSF define 4 níveis de maturidade (não prescritivos - servem como contexto): | Tier | Nome | Descrição | | ---- | ---- | --------- | | 1 | Partial | Risco gerenciado de forma ad hoc, sem processos definidos | | 2 | Risk Informed | Políticas existem, mas não são consistentemente aplicadas | | 3 | Repeatable | Processos formais, aplicados e melhorados continuamente | | 4 | Adaptive | Aprendizado contínuo, adaptação proativa a ameaças emergentes | --- ## Mapeamento CSF 2.0 x LGPD | Função CSF | Artigos LGPD Relacionados | | ---------- | ------------------------- | | GOVERN | Art. 41 (Encarregado / DPO), Art. 50 (Boas práticas) | | IDENTIFY | Art. 37 (Registro de operações de tratamento) | | PROTECT | Art. 46 (Medidas de segurança técnicas e administrativas) | | DETECT | Art. 48 (Comúnicação de incidentes) | | RESPOND | Art. 48 (Notificação à ANPD e titulares) | | RECOVER | Art. 44 (Segurança no ciclo de vida do dado) | --- > [!latam] Relevância para o Brasil > O NIST CSF 2.0 tem adoção crescente no Brasil como linguagem comum de segurança entre empresas nacionais e parceiros americanos. A nova função **Govern** é especialmente relevante no contexto brasileiro, onde a **LGPD** e a **BACEN Res. 4.893** exigem responsabilização executiva e governança formal de riscos cibernéticos. Grandes bancos como Itaú, BTG e Nubank usam o CSF como estrutura unificadora de seus programas de segurança. Para o setor de energia, a Aneel referência frameworks alinhados ao CSF para proteção de sistemas de controle industrial - uma lacuna crítica dada a crescente exposição de sistemas SCADA brasileiros a grupos como **Sandworm** e **Volt Typhoon**. ## Relevância para o Brasil O NIST CSF tem crescente adoção no Brasil, especialmente em setores regulados: - **[[financial|Setor Financeiro]]**: Grandes bancos (Nubank, Itaú, BTG) alinham programas de segurança ao CSF, que complementa a [[bacen-4893|BACEN Res. 4893]] - **[[energy|Setor de Energia]]**: Aneel e ONS recomendam frameworks alinhados ao CSF para proteção de sistemas de controle industrial - **[[government|Governo Federal]]**: DSIC (Departamento de Segurança da Informação e Comúnicações) produz guias que referênciam estrutura similar ao CSF - **Empresas com operações nos EUA**: Requisito frequente em contratos com governo americano, especialmente via CMMC (Cybersecurity Maturity Model Certification) O CSF 2.0 também fornece linguagem comum para alinhar a postura de segurança ao contexto de ameaças LATAM documentado no [[_feed|feed CTI do RunkIntel]]. --- ## Referências - [NIST CSF 2.0 - Documento Oficial](https://doi.org/10.6028/NIST.CSWP.29) - [NIST CSF Reference Tool](https://csrc.nist.gov/projects/cybersecurity-framework) - [NIST SP 800-53 - Controles de Segurança](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) - [DSIC - Gestão de Segurança da Informação](https://www.gov.br/gsi/pt-br/assuntos/dsi) - [Tradução PT-BR - CSF Glossário](https://www.nist.gov/system/files/documents/2014/02/12/cybersecurity-framework-021214-portuguese.pdf) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**