NIST CSF, para governo e empresas americanas.
O framework que aparece em todos os RFPs do governo americano e na maioria dos questionários de segurança de grandes empresas nos EUA.
A versão em linguagem simples.
O NIST Cybersecurity Framework 2.0 organiza as atividades de cibersegurança em seis funções: Govern, Identify, Protect, Detect, Respond, Recover. Voluntário, mas esperado por empresas americanas.
- Mapeamento CSF 2.0
- Avaliação de perfil e tier
- Cross-walk para outros frameworks
Três frentes: readiness, implementação e suporte a auditoria.
Readiness
Gap assessment frente ao NIST CSF. Plano concreto com responsáveis, datas e esforço.
Implementação
Políticas, controles e pipelines de evidências construídos no Vanta. IA elabora, especialistas revisam.
Suporte a auditoria
Ficamos ao seu lado nas entrevistas de auditoria e respondemos às solicitações de evidências.
Do kickoff à certificação.
Kickoff
Canal no Slack ativo. Escopo, stakeholders, baseline.
Readiness
Gaps fechados, políticas assinadas, evidências fluindo.
Preparação para auditoria
Mock audit, narrativas de controles, seleção de auditor.
Auditoria
Auditoria externa concluída. Carta ou relatório em mãos.
"O Trust Architects conduziu nosso programa NIST CSF do início ao fim. Participamos apenas para aprovação e revisão com stakeholders. Todo o resto correu sobre trilhos."
Perguntas sobre NIST CSF que ouvimos toda semana.
Quanto tempo leva o NIST CSF?
A maioria dos clientes conclui a primeira auditoria em 60 a 90 dias após o kickoff. Programas maiores levam de 4 a 6 meses.
Qual é o custo?
Nosso retainer mais a taxa do auditor externo. Dimensionamos conforme o seu momento na primeira conversa.
Precisamos de novas ferramentas?
Vanta é nossa plataforma padrão. Também trabalhamos com Drata ou Secureframe. Não é necessário trocar de ferramenta se você já usa uma plataforma.
Quem conduz a auditoria?
Um auditor independente qualificado em NIST. Temos empresas parceiras no Brasil, nos EUA e na Europa.
Isso resistirá ao escrutínio de grandes empresas?
Sim. Desenvolvemos programas que passam não só pela auditoria, mas também pela revisão do time de segurança do comprador.
Do kickoff à auditoria, em quatro etapas.
Baseline de perfil e tier
Kickoff, escopo, leitura do baseline.
Controles Identify & Protect
Primeiros artefatos entregues, pipeline de evidências em execução.
Detect & Respond em operação
Auditoria interna, remediação concluída, preparação para auditoria finalizada.
Melhoria contínua
Auditoria realizada, defendida e certificada. Fase de operação iniciada.