A CAF é uma ferramenta independente de setor desenvolvida pelo NCSC para fornecer às organizações uma abordagem estruturada para avaliar, alcançar e demonstrar um nível adequado de resiliência cibernética.
Principais conclusões
A resiliência cibernética é uma necessidade no serviço público. Os crescentes ataques de Estados-nações ameaçam infraestruturas críticas e dados confidenciais. A adoção de uma estrutura baseada em resultados permite que as organizações mantenham serviços essenciais apesar de ameaças persistentes e sofisticadas.
A visibilidade de ativos é a base do Objetivo A da CAF. As organizações não podem gerenciar riscos à segurança sem um entendimento completo de sua infraestrutura; a descoberta automatizada de APIs sombra e ativos é essencial para atender aos princípios fundamentais de gerenciamento de ativos.
O Zero Trust é fundamental para alcançar o Objetivo B da CAF. Para se protegerem contra ataques cibernéticos, as organizações devem fazer a transição da defesa de perímetro para o acesso granular e baseado em identidade e a microssegmentação, que impede o movimento lateral dentro dos sistemas essenciais.
O CAF v4.0 exige detecção proativa ao invés de monitoramento reativo. Atender ao Objetivo C requer a mudança da análise de log básica para a busca avançada de ameaças e observação comportamental para identificar adversários ocultos antes que eles possam afetar as funções essenciais.
- A integridade da cadeia de suprimentos é um resultado crítico de segurança da CAF. A segurança deve ser incorporada ao longo do ciclo de vida do software e execuções de scripts de terceiros para proteger a proveniência dos componentes e a segurança dos dados dos cidadãos.
Perguntas frequentes (FAQ)
Ela é projetada para organizações sujeitas aos regulamentos NIS, aquelas que gerenciam Critical National Infrastructure (CNI) e entidades do setor público que impulsionam funções centrais do governo ou gerenciam riscos à segurança pública.
A versão 4.0 da Cyber Assessment Framework foi lançada em agosto de 2025.
A estrutura foi desenvolvida com base em quatro objetivos de alto nível e 14 princípios, que são medidos através de 41 resultados relacionados e indicadores específicos de práticas recomendadas.
Os objetivos são o Objetivo A: Gerenciamento de riscos de segurança; Objetivo B: Proteção contra ataques cibernéticos; Objetivo C: Detecção de eventos de segurança cibernética; e Objetivo D: Minimização do impacto de incidentes.
A estrutura atualizada (Princípio A2.b) exige que as organizações entendam os recursos e as técnicas dos agentes de ameaças e, ao mesmo tempo, integrem a inteligência de ameaças específica em suas decisões de gerenciamento de riscos.
Sob o princípio C1.f, as organizações agora devem ir além da análise de log tradicional para entender o comportamento do usuário e do sistema, permitindo que identifiquem anomalias que indiquem atividade maliciosa.
A fase inicial envolve “Compreender suas necessidades”, o que requer a identificação de funções essenciais que dependem de sistemas críticos de TI e a priorização de riscos com base em possíveis ameaças e vulnerabilidades.