NIST Cybersecurity Framework: os 6 pilares do CSF 2.0 e como implementar
NIST Cybersecurity Framework: os 6 pilares do CSF 2.0 e como implementar
Por que o NIST CSF 2.0 é o framework de referência para cibersegurança
Em fevereiro de 2024, o National Institute of Standards and Technology (NIST) publicou a versão 2.0 do Cybersecurity Framework, a maior atualização desde a criação do documento original em 2014. A mudança não foi cosmetica: além de reorganizar categorias e subcategorias, o CSF 2.0 adicionou uma sexta função, Govern, que coloca governança e gestão de risco no centro da estratégia de cibersegurança.
Para CISOs e líderanças de segurança no Brasil, o NIST framework cibersegurança importa por três razões práticas:
- Referência global reconhecida por reguladores. A LGPD não prescreve um framework específico, mas auditorias e seguradoras cibernéticas usam o NIST CSF como benchmark de maturidade.
- Compatibilidade com normas brasileiras. O CSF 2.0 se mapeia diretamente a controles da ISO 27001, CIS Controls e BACEN 4893, reduzindo retrabalho de compliance.
- Aplicável a qualquer porte e setor. Diferente da versão 1.1, o CSF 2.0 foi explicitamente expandido para organizações além de infraestrutura crítica, incluindo PMEs e provedores de serviços gerenciados (MSSPs).
Este guia cobre tudo o que você precisa saber: o que é o NIST, as 6 funções do CSF 2.0 com suas subcategorias, tiers de implementação, profiles, como começar a implementar e como a plataforma EcoTrust mapeia seus 10 módulos agênticos ao framework.
O que é o NIST
Leia também: NIST CSF para equipes enxutas: como implementar cibersegu...
O NIST (National Institute of Standards and Technology) é uma agencia do Departamento de Comércio dos Estados Unidos responsável por desenvolver padrões, métricas e tecnologias que impulsionam inovação e competitividade industrial. Fundado em 1901, o NIST atua em áreas que vão de metrologia a cibersegurança.
No contexto de segurança da informação, o NIST e mais conhecido pelas publicações SP 800 (controles detalhados), o Cybersecurity Framework (CSF) e o Risk Management Framework (RMF). O CSF se diferencia por ser um framework de resultados, não de controles prescritivos. Ele define o que a organização deve alcançar, não como alcançar, o que o torna complementar a padrões como ISO 27001.
Do CSF 1.1 ao CSF 2.0: o que mudou
Leia também: DevSecOps: o que é, pilares e como implementar segurança ...
A versão 1.1 do NIST CSF, publicada em 2018, estabeleceu cinco funções (Identify, Protect, Detect, Respond, Recover) e se tornou o framework mais adotado globalmente para gestão de risco cibernético. A versão 2.0, publicada em fevereiro de 2024, trouxe mudanças estruturais relevantes:
| Aspecto | CSF 1.1 (2018) | CSF 2.0 (2024) |
|---|---|---|
| Funções | 5 (Identify, Protect, Detect, Respond, Recover) | 6 (+ Govern) |
| Escopo | Infraestrutura crítica | Todas as organizações, qualquer porte e setor |
| Governança | Dispersa entre categorias | Função dedicada (Govern) no núcleo |
| Supply chain | Subcategoria isolada | Integrado transversalmente (GV.SC) |
| Profiles | Conceito genérico | Dois tipos explícitos: Current Profile e Target Profile |
| Implementação | Orientações gerais | Exemplos de implementação e guias de início rápido |
| Mapeamento | Referência informativa básica | Catalogo online de mapeamentos (NIST CSF 2.0 Reference Tool) |
A adição da função Govern e a mudança mais significativa. Ela reconhece que cibersegurança não é um problema exclusivamente técnico, é um risco de negócio que exige governança, estratégia, políticas e supervisão em nível executivo.
As 6 funções do NIST CSF 2.0
O núcleo do CSF 2.0 e organizado em 6 funções que representam o ciclo completo de gestão de risco cibernético. Cada função se desdobra em categorias e subcategorias que detalham resultados específicos. A função Govern envolve todas as demais, funcionando como um anel de governança ao redor do ciclo operacional.
Tabela: as 6 funções, categorias e subcategorias do NIST CSF 2.0
| Função | Código | Objetivo | Categorias principais | Exemplos de subcategorias |
|---|---|---|---|---|
| Govern (GV) | GV | Estabelecer e monitorar a estratégia de gestão de risco cibernético da organização | Contexto Organizacional (GV.OC), Estratégia de Gestão de Risco (GV.RM), Papeis e Responsabilidades (GV.RR), Políticas (GV.PO), Supervisão (GV.OV), Gestão de Risco da Cadeia de Suprimentos (GV.SC) | GV.OC-01: Missão da organização e compreendida e informa a gestão de risco; GV.SC-01: Programa de gestão de risco de supply chain e estabelecido |
| Identify (ID) | ID | Compreender o contexto atual de risco cibernético da organização | Gestão de Ativos (ID.AM), Avaliação de Risco (ID.RA), Melhoria (ID.IM) | ID.AM-01: Inventário de ativos de hardware mantido; ID.RA-01: Vulnerabilidades em ativos são identificadas |
| Protect (PR) | PR | Implementar salvaguardas para gerenciar riscos de cibersegurança | Gestão de Identidade e Controle de Acesso (PR.AA), Conscientização e Treinamento (PR.AT), Segurança de Dados (PR.DS), Segurança de Plataforma (PR.PS), Resiliência de Infraestrutura (PR.IR) | PR.AA-01: Identidades e credenciais gerenciadas; PR.DS-01: Confidencialidade de dados em repouso protegida |
| Detect (DE) | DE | Identificar possíveis ataques e comprometimentos de cibersegurança | Monitoramento Contínuo (DE.CM), Análise de Eventos Adversos (DE.AE) | DE.CM-01: Redes monitoradas para detectar eventos adversos potenciais; DE.AE-01: Eventos adversos são analisados para caracterizar contexto |
| Respond (RS) | RS | Agir em relação a incidentes de cibersegurança detectados | Gestão de Incidentes (RS.MA), Análise de Incidentes (RS.AN), Reporte e Comunicação de Incidentes (RS.CO), Mitigação de Incidentes (RS.MI) | RS.MA-01: Plano de resposta a incidentes e executado; RS.AN-01: Investigação de incidentes e conduzida |
| Recover (RC) | RC | Restaurar ativos e operações afetados por incidentes de cibersegurança | Execução do Plano de Recuperação (RC.RP), Comunicação de Recuperação (RC.CO) | RC.RP-01: Plano de recuperação e executado durante ou após incidente; RC.CO-01: Partes interessadas são informadas |
Govern (GV), A nova função central
A função Govern e a espinha dorsal do CSF 2.0. Ela permeia todas as demais funções e estabelece que a gestão de risco cibernético deve ser tratada como parte integrante da governança corporativa, não como um silos de TI.
Na prática, Govern exige que a organização:
- Defina o apetite e a tolerância a risco cibernético em nível de diretoria.
- Estabeleca políticas formais de cibersegurança alinhadas a estratégia de negócio.
- Atribua papeis e responsabilidades claros para gestão de risco.
- Implemente supervisão sobre a cadeia de suprimentos e terceiros.
- Monitore e revise periodicamente a eficácia do programa de cibersegurança.
Para CISOs, essa função é uma ferramenta de comunicação poderosa: ela válida que cibersegurança e pauta de board, não apenas de equipe técnica.
Identify (ID), Conhecer o ambiente
Antes de proteger, é necessário saber o que precisa ser protegido. A função Identify cobre inventário de ativos, avaliação de risco e compreensão do ambiente de ameaças. Organizações que não possuem visibilidade sobre seus ativos, incluindo shadow IT e ativos em nuvem, não conseguem implementar nenhuma das funções seguintes de forma eficaz.
O módulo Discovery da EcoTrust opera diretamente nesta função, realizando varredura autônoma e contínua da rede para identificar dispositivos, serviços e shadow IT, sem instalar agentes nos endpoints.
Protect (PR), Implementar salvaguardas
Com o ambiente mapeado, a função Protect trata da implementação de controles que reduzem a probabilidade é o impacto de eventos de cibersegurança. Isso inclui gestão de identidade e acesso, treinamento, proteção de dados, segurança de plataformas e resiliência de infraestrutura.
O módulo Patch Management da EcoTrust contribui diretamente para está função ao executar campanhas de remediação priorizadas por impacto financeiro, garantindo que as vulnerabilidades mais críticas sejam corrigidas antes que se tornem vetores de ataque.
Detect (DE), Monitorar e identificar ameaças
Nenhum conjunto de controles preventivos e infalivel. A função Detect estabelece a necessidade de monitoramento contínuo para identificar anomaliás, eventos adversos e possíveis comprometimentos em tempo habil.
Respond (RS), Agir sobre incidentes
Quando um evento adverso e confirmado como incidente, a função Respond orienta a organização na execução de planos de resposta, análise forense, comunicação com partes interessadas e mitigação do impacto.
Recover (RC), Restaurar operações
A função Recover garante que a organização tenha capacidade de restaurar serviços e operações afetados por incidentes, incluindo planos de recuperação testados e comunicação transparente durante o processo.
Tiers de implementação do NIST CSF
Os tiers do NIST CSF descrevem o grau de rigor e sofisticação com que uma organização gerência seu risco cibernético. Não são níveis de maturidade sequenciais obrigatórios, são descritores que ajudam a organização a avaliar onde está e onde deseja chegar.
| Tier | Nome | Descrição |
|---|---|---|
| Tier 1 | Parcial (Partial) | Gestão de risco ad hoc, sem processos formais. Baixa consciencia de risco em nível organizacional. |
| Tier 2 | Informado pelo risco (Risk Informed) | Processos de gestão de risco aprovados pela gerência, mas não implementados de forma consistente em toda a organização. |
| Tier 3 | Repetivel (Repeatable) | Processos formais, documentados e implementados de forma consistente. A organização ajusta práticas com base em mudanças no ambiente de ameaças. |
| Tier 4 | Adaptativo (Adaptive) | Gestão de risco e parte da cultura organizacional. Processos são continuamente aprimorados com base em indicadores preditivos e licoes aprendidas. |
A maioria das organizações brasileiras de médio porte opera entre os Tiers 1 e 2. O objetivo prático não é necessáriamente alcançar o Tier 4 em todas as funções, mas identificar onde o investimento em maturidade gera mais redução de risco.
Profiles do NIST CSF 2.0
Os profiles são a ferramenta que conecta o framework a realidade específica da organização. O CSF 2.0 define dois tipos:
- Current Profile (Perfil Atual): descreve os resultados do CSF que a organização já alcança no momento presente.
- Target Profile (Perfil Alvo): descreve os resultados que a organização deseja alcançar, considerando seu apetite de risco, requisitos regulatórios e objetivos de negócio.
A diferença entre o Current Profile é o Target Profile revela os gaps que precisam ser priorizados. Essa análise de lacunas é o ponto de partida para um plano de implementação concreto.
O módulo CRQ (Cyber Risk Quantitative) da EcoTrust permite traduzir esses gaps em impacto financeiro: usando metodologia FAIR e Simulação de Monte Carlo, a plataforma calcula o Valor em Risco (VaR) associado a cada lacuna, facilitando a priorização de investimentos é a comunicação com o board.
Como implementar o NIST CSF 2.0: 8 passos práticos
A implementação do NIST CSF não exige que a organização comece do zero. O framework foi projetado para se integrar a programas de segurança existentes. A seguir, um roteiro prático em 8 passos:
-
Definir o escopo e os objetivos do programa. Determine quais unidades de negócio, sistemas e ativos serão cobertos. Alinhe os objetivos do programa de cibersegurança aos objetivos estratégicos da organização (função Govern).
-
Montar o Current Profile. Avalie quais resultados do CSF 2.0 a organização já atende hoje. Use as subcategorias como checklist e documente evidências para cada item atendido.
-
Realizar avaliação de risco. Identifique ameaças, vulnerabilidades e impactos potenciais sobre os ativos no escopo. O módulo GVul da EcoTrust automatiza a priorização de vulnerabilidades cruzando severidade técnica, explorabilidade ativa e criticidade do ativo.
-
Construir o Target Profile. Defina os resultados desejados com base no apetite de risco da organização, requisitos regulatórios (LGPD, BACEN 4893, PCI DSS) e benchmarks setoriais.
-
Analisar os gaps. Compare Current Profile e Target Profile. Identifique as lacunas e priorize-as por impacto financeiro e probabilidade de exploração.
-
Elaborar o plano de ação. Para cada gap, defina ações específicas, responsáveis, prazos e métricas de sucesso. Vincule o plano ao orçamento disponível e ao roadmap de segurança.
-
Implementar e monitorar. Execute o plano, monitore o progresso com KPIs (ex.: MTTR, cobertura de patches, percentual de ativos inventariados) e ajuste conforme necessário.
-
Revisar e iterar. O CSF e cíclico. Reavalie o Current Profile periodicamente (recomendação: trimestral para organizações em Tier 3+), atualize o Target Profile conforme novos requisitos surgem e reinicie o ciclo.
Mapeamento do NIST CSF 2.0 aos módulos EcoTrust
A EcoTrust é uma plataforma de IA Agêntica para CTEM (Continuous Threat Exposure Management) com 10 módulos agênticos que cobrem o ciclo completo de gestão de exposição. A tabela a seguir mapeia cada função do NIST CSF 2.0 aos módulos correspondentes:
| Função NIST CSF 2.0 | Categorias-chave | Módulos EcoTrust | Como a EcoTrust atende |
|---|---|---|---|
| Govern (GV) | GV.RM, GV.SC, GV.OV | CRQ, CRS-TPRM | Quantificação financeira de risco (FAIR + Monte Carlo) para comunicação com o board; avaliação contínua de risco de terceiros |
| Identify (ID) | ID.AM, ID.RA | Discovery, Inventory, CRS-EASM, CRS-CAASM | Descoberta autônoma de ativos, inventário agentless, mapeamento de superfície de ataque externa e interna |
| Protect (PR) | PR.PS, PR.IR | Patch Management, VulScan | Campanhas de remediação priorizadas, correção automatizada de vulnerabilidades, validação pós-patch |
| Detect (DE) | DE.CM, DE.AE | VulScan, WebAppScan, CRS-EASM | Monitoramento contínuo de vulnerabilidades, DAST autenticado, detecção de credenciais vazadas e shadow IT externo |
| Respond (RS) | RS.MA, RS.MI | GVul, Patch Management | Priorização de vulnerabilidades por risco de negócio, campanhas de remediação com SLA, rastreabilidade completa |
| Recover (RC) | RC.RP, RC.CO | GVul, CRQ | Evidência auditável de remediação (ROSI por CVE), relatórios executivos de postura pós-incidente |
Essa cobertura permite que organizações usando a EcoTrust demonstrem alinhamento ao NIST CSF 2.0 como subproduto natural de sua operação de segurança, sem esforço adicional de compilação de evidências.
Quer ver na prática como os 10 módulos da EcoTrust se alinham ao NIST CSF 2.0? Fale com nosso time.
NIST CSF 2.0 vs ISO 27001:2022, Comparação prática
NIST CSF e ISO 27001 são frequentemente tratados como alternativas, mas na prática são complementares. A tabela a seguir esclarece as diferenças:
| Critério | NIST CSF 2.0 | ISO 27001:2022 |
|---|---|---|
| Tipo | Framework voluntário de resultados | Norma internacional certificavel |
| Origem | NIST (EUA) | ISO/IEC (internacional) |
| Escopo | Gestão de risco cibernético | Sistema de gestão de segurança da informação (SGSI) completo |
| Estrutura | 6 funções, 22 categorias, 106 subcategorias | 4 clausulas de requisitos + Anexo A com 93 controles |
| Certificação | Não certificavel | Certificavel por organismo acreditado |
| Abordagem | Define o que alcançar (outcomes) | Define o que implementar (controles) |
| Governança | Função dedicada (Govern) | Clausulas 5 (Líderança) e 6 (Planejamento) |
| Gestão de risco | Integrada via Govern e Identify | Clausula 6.1 (Ações para tratar riscos) |
| Supply chain | Categoria dedicada (GV.SC) | Controle A.5.21 (Gestão de segurança na cadeia de TIC) |
| Custo de conformidade | Menor (autoavaliação) | Maior (auditoria externa + certificação) |
| Adoção no Brasil | Referência técnica, não exigido por lei | Requisito contratual frequente, especialmente no setor financeiro |
Na prática, use ambos: o NIST CSF fornece a visão estratégica e a linguagem de comunicação com o board; a ISO 27001 fornece o sistema de gestão certificavel e os controles detalhados. Os mapeamentos oficiais do NIST permitem cruzar subcategorias do CSF com controles do Anexo A da ISO 27001 sem duplicação de esforço.
Perguntas frequentes (FAQ)
O NIST CSF 2.0 é obrigatório no Brasil?
Não. O NIST CSF é um framework voluntário. No entanto, reguladores como o Banco Central (BACEN 4893) é a ANPD fazem referência a frameworks de cibersegurança reconhecidos internacionalmente. O CSF e aceito como evidência de maturidade em processos de due diligence, licitações e contratação de seguro cibernético.
Qual a diferença entre o NIST CSF e o NIST SP 800-53?
O CSF é um framework de alto nível orientado a resultados, aplicável a qualquer organização. O SP 800-53 é um catalogo detalhado de controles de segurança, originalmente voltado a agencias federais dos EUA. Na prática, o CSF define o que alcançar; o SP 800-53 detalha como implementar.
O CSF 2.0 substituiu o CSF 1.1?
Sim. O NIST recomenda que organizações migrem para o CSF 2.0. Organizações que já implementaram o CSF 1.1 podem usar o mapeamento oficial do NIST para transicionar sem retrabalho significativo, as 5 funções originais permanecem, com a adição da função Govern.
Quantas subcategorias tem o NIST CSF 2.0?
O CSF 2.0 possui 6 funções, 22 categorias e 106 subcategorias. Cada subcategoria descreve um resultado de cibersegurança que pode ser alcancado por meio de diferentes controles e práticas, conforme a realidade da organização.
E possível implementar o NIST CSF com equipe pequena?
Sim. O framework e escalável. Organizações com equipe reduzida podem priorizar as subcategorias mais relevantes para seu perfil de risco e usar plataformas como a EcoTrust para automatizar processos de descoberta de ativos, priorização de vulnerabilidades e remediação, reduzindo a carga operacional sobre a equipe.
Como o NIST CSF se relaciona com CTEM?
O CTEM (Continuous Threat Exposure Management) é o framework do Gartner para gestão contínua de exposição a ameaças. As 5 fases do CTEM (Escopo, Descoberta, Priorização, Validação, Mobilização) se mapeiam diretamente as funções do NIST CSF: Escopo e Descoberta alimentam Identify e Detect; Priorização apoia Govern e Respond; Validação e Mobilização se alinham a Protect e Recover. A EcoTrust opera na interseccao dos dois frameworks.
Para aprofundamento, consulte a referência oficial: NIST Cybersecurity Framework.
Conclusão: o NIST CSF 2.0 como linguagem comum para cibersegurança
O NIST Cybersecurity Framework 2.0 não é apenas mais um framework de compliance. É uma linguagem comum que permite alinhar equipes técnicas, líderanças executivas, reguladores e parceiros em torno de uma visão unificada de gestão de risco cibernético.
Com a adição da função Govern, o CSF 2.0 reconhece formalmente o que CISOs já sabiam: cibersegurança e problema de negócio, não de TI. E com a expansão do escopo para todas as organizações, o framework se torna relevante independentemente do porte ou setor.
A implementação não precisa ser monolitica. Comece com o Current Profile, identifique os gaps de maior impacto financeiro, escolha ferramentas que operacionalizem os resultados desejados e avance incrementalmente. Plataformas como a EcoTrust, com seus 10 módulos agênticos mapeados ao NIST CSF, permitem transformar o framework de teoria em operação contínua.
Agende uma demonstração e veja como a EcoTrust operacionaliza o NIST CSF 2.0 com IA Agêntica.
Conheça o módulo CTEM
Veja como a EcoTrust aplica IA agêntica para resolver os desafios apresentados neste artigo.
Explorar CTEMArtigos Relacionados
As 5 Fases do CTEM: Do Escopo a Mobilização: Guia Prático para Implementar o Ciclo Completo
Se a sua organização ainda trata gestão de exposições como um projeto com início e fim, o resultado é previsível: relatórios que envelhecem antes de serem lidos, *backlogs* de vulnerabilidades que só …
Ameaças Cibernéticas: guia completo com os 12 tipos mais perigosos e como o CTEM protege sua empresa
O volume de ataques cibernéticos a empresas brasileiras cresceu 38% em 2024 segundo o relatório da Check Point Research, e a tendência para 2025-2026 é de aceleração. Ransomware como serviço (RaaS), a…
Automação vs IA Agêntica: Por Que Scripts Fixos Não Bastam Para Segurança
Automação foi, sem duvida, um dos maiores avancos das operações de segurança na última década. Playbooks SOAR, scripts de resposta a incidentes e regras de orquestração tiraram das equipes de SOC uma …