Solicitar Orçamento
WW +41 21 641 6080 | EUA +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | DACH +49 1744625528
Fale Conosco
Home > Blog de Apoio e Recuperação > Requisitos do NIST para backup e recuperação

Requisitos do NIST para backup e recuperação

Atualizado 15th abril 2024, Rob Morrison

O que é o NIST?

NIST é o National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia), uma agência governamental dos Estados Unidos que opera sob o Departamento de Comércio. A agência em questão tem mais de cem anos, embora tenha sido conhecida como National Bureau of Standards de 1901 a 1988.

Seu principal objetivo é desenvolver novos padrões técnicos e aprimorar os existentes em diferentes campos – segurança cibernética, medição ou qualquer coisa relacionada à tecnologia moderna.

Quadro de segurança cibernética do NIST

A segurança cibernética é uma das esferas de interesse mais significativas do NIST, sendo a informação o ativo mais valioso de uma pessoa ou empresa atualmente. Nesse contexto, a proteção abrangente dos dados é natural, e cabe a organizações como o NIST tentar criar diretrizes acessíveis e convenientes para proteger as informações contra vários tipos de ataques cibernéticos.

Assim, a Estrutura de Segurança Cibernética (CSF) do NIST foi criada há mais de uma década para fornecer assistência abrangente às empresas que desejam proteger suas informações usando vários métodos e estratégias. A implementação correta da CSF deve melhorar muito a segurança cibernética geral de uma organização.

O objetivo dessa estrutura é incentivar uma análise mais completa e detalhada da segurança de uma organização, tornando tarefas como a avaliação de riscos mais comuns para empresas e negócios. Dessa forma, essas empresas podem ter muito mais certeza em seus próprios sistemas e infraestruturas de segurança ou tentar resolver os problemas que possam ter surgido em um desses sistemas ao longo do tempo.

Deve-se mencionar também que o NIST CSF não é um padrão ou uma estrutura certificável; o NIST não oferece nenhum tipo de certificação para aprovação ou reprovação no CSF de alguma forma. O que ele oferece é uma vasta rede de programas de segurança de TI aos quais as empresas podem se submeter para que seus produtos sejam testados e validados pelo NIST por meio de documentação oficial.

O conceito original do CSF usa cinco elementos principais para estabelecer sua cobertura abrangente de diferentes campos e tópicos de segurança cibernética. Esses cinco campos são chamados de Detectar, Identificar, Responder, Proteger e Recuperar.

Detectar envolve principalmente a detecção e o monitoramento de ameaças, abrangendo funções como detecção de intrusão, registro de eventos de segurança e detecção de anomalias.

Identify inclui funções que fornecem recursos de gerenciamento de riscos e identificação de problemas. Isso facilita a compreensão do cenário atual de dados de uma organização e, ao mesmo tempo, oferece recursos como gerenciamento de ativos e avaliação de riscos.

Responder é um campo relativamente autoexplicativo, que abrange uma lista detalhada de eventos e tarefas que devem ser executados se uma organização estiver enfrentando um incidente de segurança. Trata-se de gerar um plano de resposta a incidentes, com vários esforços de coordenação e comunicação incluídos no campo.

Proteger é a base da maioria dos esforços de segurança que uma organização deve cobrir. Pode incluir muitas atividades que vão desde a criptografia de dados e o controle de acesso até o treinamento geral de conscientização para todos os funcionários da empresa.

Recuperação é tudo o que uma organização faz para se recuperar das consequências de um incidente de segurança cibernética. Esse campo abrange não apenas o backup e a recuperação, mas também inclui análises pós-incidente e possíveis melhorias no sistema existente com base nas análises mencionadas anteriormente.

Nenhum desses campos é mutuamente exclusivo; todos eles devem ser usados em conjunto para criar o sistema de segurança mais resiliente que possa resistir a todos os tipos de ameaças e ataques.

NIST CSF 2.0 – Atualização de 2024

A segurança cibernética é um campo muito dinâmico que vem se desenvolvendo em ritmo acelerado há várias décadas. Dessa forma, as recomendações e diretrizes de segurança cibernética também precisam ser atualizadas.

Foi exatamente isso que aconteceu com a estrutura de segurança cibernética do NIST, com a versão 2.0 sendo lançada em fevereiro de 2024. Ela inclui muitos acréscimos e revisões ao conteúdo existente e, ao mesmo tempo, adiciona muitos elementos novos à mistura.

Um dos acréscimos mais significativos ao CSF é a inclusão de um campo totalmente novo chamado Governar. Ele é usado para expandir os cinco campos existentes, especialmente quando se trata de recursos orientados para o “controle” – medição do sucesso, revisão, planejamento etc.

O campo Protect também foi reformulado até certo ponto, introduzindo dois novos subcampos: Segurança de dados e Resiliência de infraestrutura. Ambos são usados não apenas para reforçar a necessidade de proteção de dados como um todo, mas também para expandir os métodos de segurança mais não convencionais, como backups imutáveis e vários métodos de resiliência.

O campo Response não recebeu muito conteúdo novo, mas as informações existentes foram fortemente reestruturadas, mantendo a mensagem original de usar as informações coletadas em diferentes campos para gerar medidas de resposta eficientes para várias situações.

Muitas outras alterações e modificações foram feitas na versão anterior do CSF, mas as informações acima destacam as alterações mais significativas na estrutura geral. A versão completa do NIST CSF 2.0 pode ser encontrada no site oficial.

Os desafios das tarefas de backup no contexto dos MSPs

Seria justo mencionar que o CSF está longe de ser a única informação que a agência fornece sobre o tópico de segurança de dados e outros tópicos semelhantes. Nesse contexto, gostaríamos de abordar outro elemento do NIST que gira em torno do tópico de tarefas de backup e recuperação especificamente para provedores de serviços gerenciados, o que o torna um pouco mais específico do que o CSF.

Um dos problemas mais específicos que o artigo do NCCoE apresenta é a questão dos sistemas de backup implementados, mas não testados ou planejados corretamente, o que os torna praticamente ineficazes. Um único evento de perda de dados causa problemas de marca, perda de reputação, perda de produtividade, perda de receita e muito mais. Nesse contexto, é fundamental garantir que os sistemas de backup sejam configurados e testados adequadamente.

Como abordar os requisitos do NIST para backup e recuperação

Os backups de arquivos como meio de retomar a operação após algum tipo de evento de segurança cibernética ou violação de dados são reforçados no NIST Interagency Report 7621 Rev. 1, Small Business Information Security. O principal objetivo da pesquisa realizada pelo National Cybersecurity Center of Excellence é ajudar tanto as empresas quanto os MSPs que trabalham com elas a criar fluxos de trabalho e operações de backup adequados.

Recomendações do NIST para backups

O artigo do NCCoE abrange três pilares principais das recomendações de backup fornecidas pelo NIST: Planejamento, implementação e teste.

O pilar do planejamento

O planejamento é o primeiro pilar dos três; é um processo abrangente que ajuda a empresa a encontrar um equilíbrio entre as necessidades operacionais e os custos totais de funcionamento. A maioria das recomendações na parte “Planejamento” deste artigo é baseada na NIST Special Publication (SP) 800-53, Rev 4, incluindo elementos como:

  • Determinação do tempo de restauração correto
  • Determinar as dependências entre os sistemas e os elementos da infraestrutura
  • Identificar quais arquivos devem ter prioridade no processo de backup
  • Desenvolvimento de processos abrangentes para diferentes situações, incluindo elementos de resposta e recuperação
  • Não depender de uma única cópia de backup do sistema (e, em vez disso, usar a estratégia de backup 3-2-1)
  • Avaliar o status de sensibilidade geral de todos os elementos de dados, pois alguns deles precisariam ter medidas de segurança adicionais de acordo com várias estruturas e regulamentações de conformidade

O pilar de implementação

Implementação é um pilar um pouco menos sofisticado que gira em torno da execução de ações pré-planejadas dentro das fronteiras da infraestrutura de uma empresa. Esse pilar específico inclui eventos como:

  • Avaliação de possíveis locais de armazenamento de backup fora do local
  • Integrar tecnologias modernas ao sistema de backup e recuperação (as tecnologias exatas recomendadas pelo NIST serão mencionadas em detalhes abaixo)
  • Implementação de um sistema de “Go Bag” para fins de recuperação de dados confidenciais – uma coleção de dados críticos, como chaves de segurança e senhas, armazenados e protegidos em um local separado da infraestrutura geral do sistema
  • Preparar um conjunto de sistemas e elementos de infraestrutura que possam funcionar totalmente separados da infraestrutura comercial original para serem usados somente em emergências

O pilar de testes

Teste é o último, mas não menos importante, pilar das recomendações do NIST (pode ser chamado de Teste e Monitoramento de forma intercambiável, pois inclui elementos de ambos os processos). Ele é autoexplicativo em seu objetivo principal: testar e monitorar tecnologias, sistemas e fluxos de trabalho para garantir que estejam funcionando e ajudem em caso de desastre ou ataque cibernético. Esse pilar pode ser separado em dois grupos:

  • Teste
    • Realizar testes automatizados
    • Verificar a integridade do backup
    • Avaliar o desempenho dos processos de recuperação
    • Extrair dados dos testes mencionados acima para ajustes futuros
  • Monitoramento
    • Monitorar os processos de testes automatizados
    • Garantir que os backups sejam gerados corretamente
    • Garantir que os backups possam ser usados para restaurar os dados à sua forma original

Tecnologias úteis para tarefas de backup

Para executar todas as ações e processos mencionados acima, há muitos recursos e tecnologias diferentes que o NIST recomenda usar na estrutura de backup e recuperação:

  • A automação do sistema de backup é necessária para executar tarefas de backup em ambientes abrangentes que consistem em diferentes tipos de armazenamento – disco, fita, NAS, VM, armazenamento em nuvem e assim por diante.
  • O armazenamento de backup baseado em nuvem funciona como uma ótima alternativa ao armazenamento local no local para backups devido à sua capacidade de permanecer separado de outras opções de armazenamento; ele também pode oferecer diferentes tipos de backup, métodos de implementação etc.
  • Diferentes tecnologias de armazenamento local também podem oferecer vantagens exclusivas, dependendo do tipo de armazenamento – incluindo tudo, desde discos rígidos locais e mídias removíveis até armazenamento em nuvem, armazenamento WORM e outros tipos de armazenamento não convencionais
  • A criptografia de dados geralmente serve como uma das medidas de segurança mais significativas para dados em trânsito e em repouso, oferecendo outra camada de proteção contra ações ilegais além dos próprios processos de backup.
  • Os backups para armazenamento baseado em nuvem são tão necessários quanto os de suas contrapartes no local, garantindo que os dados em si ainda estejam disponíveis se o armazenamento em nuvem ficar off-line por algum motivo; pode não ser necessário em determinadas situações e casos de uso.

As seguintes publicações do NIST abrangem essas tecnologias e seus processos de implementação:

NIST e sua função em um ambiente moderno de segurança cibernética

O número de violações de dados e incidentes de segurança cibernética continua crescendo a cada ano que passa, e as próprias tecnologias estão melhorando em um ritmo extremamente rápido. Nesse contexto, qualquer coisa que explique os diferentes elementos de um sistema eficaz de proteção de segurança cibernética é um acréscimo bem-vindo ao esforço geral do setor para se manter à frente do ambiente de crimes cibernéticos. Praticamente qualquer empresa que precise aprimorar as medidas de segurança cibernética existentes pode aproveitar as recomendações do NIST para melhorar elementos específicos ou toda a infraestrutura em geral.

Conclusão

No mundo atual, com o aumento do risco de ataques cibernéticos, a segurança cibernética é uma das principais preocupações dos líderes de tecnologia de todos os tipos de organizações. O NIST é uma grande instituição que abrange muitas áreas de aplicação, sendo sua estrutura de segurança cibernética um de seus elementos mais importantes. O NIST oferece vários padrões e recomendações diferentes com relação à segurança cibernética como um todo. Algumas dessas recomendações são usadas em um sentido geral, enquanto outras são um pouco mais específicas para cada caso, como o artigo acima do NCCoE sobre backups de MSPs e seus testes.

Embora as recomendações do NIST sejam obrigatórias apenas para uma determinada gama de empresas e negócios (incluindo todos os órgãos do governo federal dos EUA e praticamente qualquer empresa que faça negócios com o governo dos EUA como um todo), elas ainda podem ser usadas como considerações gerais para a configuração geral de backup e segurança cibernética. Muitas dessas recomendações são altamente detalhadas em sua natureza, o que torna mais fácil para muitas empresas diferentes implementá-las e melhorar sua situação de segurança cibernética.

Compatibilidade do Bacula Enterprise e do NIST

Existem algumas soluções de backup e recuperação que já são criadas e gerenciadas com todos os requisitos do NIST em mente. No entanto, algumas soluções vão mais longe do que outras e, para organizações preocupadas com a segurança, o Bacula Enterprise é provavelmente o exemplo mais forte disso, oferecendo uma plataforma abrangente de backup e recuperação com níveis de segurança especialmente altos que atendem e superam todos os requisitos de auditoria do NIST.

O Bacula pode oferecer uma infinidade de recursos e capacidades que o tornam muito melhor para garantir a conformidade de uma organização do que a maioria de seus concorrentes, incluindo:

  • Criptografia de backup, independentemente de onde estejam armazenados.
  • Verificações regulares da integridade dos dados.
  • Recursos detalhados de geração de relatórios.
  • Vastos recursos de registro em log.
  • Suporte para políticas de proteção de dados automatizadas e centralizadas.
  • Recursos avançados de imutabilidade de dados.
  • Flexibilidade em termos de partição de dados.
  • Muitos recursos de integração com soluções de monitoramento externo.
  • Suporte para muitos tipos diferentes de armazenamento.
  • Vária gama de tipos de imutabilidade e compatibilidade.
  • Resiliência de infraestrutura extremamente alta em comparação com outros fornecedores de backup e recuperação.
  • Recursos de relatórios amplos e granulares

O Bacula Enterprise não apenas pode cobrir prontamente todos os seis pilares do NIST (Proteger, Identificar, Detectar, Responder, Recuperar e Governar), mas também é compatível com FIPS 140-2 e suporta muitas outras estruturas regulatórias, incluindo GDPR, CCPA, FISMA e muito mais. Mais informações sobre os recursos de conformidade do Bacula Enterprise podem ser encontradas aqui.

PERGUNTAS FREQUENTES

Como o NIST está conectado ao setor de segurança cibernética?

A segurança cibernética é um dos pilares mais essenciais do NIST, que atua como desenvolvedor e distribuidor de estruturas de segurança para ajudar as empresas a combater todos os tipos de ameaças cibernéticas.

Como o NIST pode ajudar as empresas com problemas de segurança cibernética?

O NIST não apenas oferece uma estrutura de segurança cibernética completa como base para suas recomendações de segurança, mas também há muitas outras recomendações e documentos mais específicos, como o artigo do NCCoE sobre testes de backup para MSPs que mencionamos anteriormente.

Quais são as recomendações do NIST quando se trata de backups de dados?

O NIST oferece muitas opções diferentes para melhorar a estrutura de backup existente. Muitas delas são específicas para cada caso, mas algumas das recomendações mais comuns incluem a adesão à estratégia 3-2-1, a criptografia de dados, a imutabilidade do backup e muito mais.

Sobre o autor
Rob Morrison
Rob Morrison é o diretor de marketing da Bacula Systems. Ele começou sua carreira de marketing de TI na Silicon Graphics, na Suíça, e desempenhou intensamente várias funções de administração de marketing por quase 10 anos. Nos 10 anos seguintes, Rob também ocupou vários cargos de administração de marketing na JBoss, Red Hat e Pentaho, assegurando o crescimento da participação no mercado dessas empresas reconhecidas. Ele é formado pela Universidade de Plymouth e tem um diploma de honras em mídia digital e comunicação, além de ter feito um programa de estudos no exterior.
Posts Relacionados
Backup e recuperação do OpenStack: Práticas recomendadas, métodos integrados e soluções
novembro 14, 2023
As 20 melhores soluções de backup para VMware maquina virtual ESXi
março 10, 2022
Visão geral dos backups de máquinas virtuais. Backups de VMs com o Bacula Enterprise
dezembro 6, 2021
Guia e estratégias de backup e recuperação de desastres do Hadoop HDFS
dezembro 22, 2023
Melhores soluções de backup MSP. Como escolher o software de backup e recuperação MSP?
outubro 29, 2024
O que é continuidade dos negócios e recuperação de desastres? A diferença entre BC e DR
maio 1, 2024
Deixe um comentário

Seu e-mail não será publicado. Os campos obrigatórios estão marcados com *