---
title: "Requisitos do NIST para backup e recuperação"
published_at: "2024-04-15T19:58:57+00:00"
modified_at: "2024-04-15T19:58:57+00:00"
url: "https://www.baculasystems.com/pt/pt-blog/requisitos-do-nist-para-backup-e-recuperacao/"
markdown_url: "https://www.baculasystems.com/pt/pt-blog/requisitos-do-nist-para-backup-e-recuperacao.md"
taxonomy_language:
  - "Português"
---

[Home](https://www.baculasystems.com/pt/)
 > [Blog de Apoio e Recuperação](https://www.baculasystems.com/pt/pt-blog/)
 > Requisitos do NIST para backup e recuperação

# Requisitos do NIST para backup e recuperação

Atualizado 15th abril 2024, Rob Morrison

## O que é o NIST?

NIST é o National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia), uma agência governamental dos Estados Unidos que opera sob o Departamento de Comércio. A agência em questão tem mais de cem anos, embora tenha sido conhecida como National Bureau of Standards de 1901 a 1988.

Seu principal objetivo é desenvolver novos padrões técnicos e aprimorar os existentes em diferentes campos – segurança cibernética, medição ou qualquer coisa relacionada à tecnologia moderna.

### Quadro de segurança cibernética do NIST

A segurança cibernética é uma das esferas de interesse mais significativas do NIST, sendo a informação o ativo mais valioso de uma pessoa ou empresa atualmente. Nesse contexto, a proteção abrangente dos dados é natural, e cabe a organizações como o NIST tentar criar diretrizes acessíveis e convenientes para proteger as informações contra vários tipos de ataques cibernéticos.

Assim, a Estrutura de Segurança Cibernética (CSF) do NIST foi criada há mais de uma década para fornecer assistência abrangente às empresas que desejam proteger suas informações usando vários métodos e estratégias. A implementação correta da CSF deve melhorar muito a segurança cibernética geral de uma organização.

O objetivo dessa estrutura é incentivar uma análise mais completa e detalhada da segurança de uma organização, tornando tarefas como a avaliação de riscos mais comuns para empresas e negócios. Dessa forma, essas empresas podem ter muito mais certeza em seus próprios sistemas e infraestruturas de segurança ou tentar resolver os problemas que possam ter surgido em um desses sistemas ao longo do tempo.

Deve-se mencionar também que o NIST CSF não é um padrão ou uma estrutura certificável; o NIST não oferece nenhum tipo de certificação para aprovação ou reprovação no CSF de alguma forma. O que ele oferece é uma vasta rede de programas de segurança de TI aos quais as empresas podem se submeter para que seus produtos sejam testados e validados pelo NIST por meio de documentação oficial.

O conceito original do CSF usa cinco elementos principais para estabelecer sua cobertura abrangente de diferentes campos e tópicos de segurança cibernética. Esses cinco campos são chamados de Detectar, Identificar, Responder, Proteger e Recuperar.

**Detectar** envolve principalmente a detecção e o monitoramento de ameaças, abrangendo funções como detecção de intrusão, registro de eventos de segurança e detecção de anomalias.

**Identify**inclui funções que fornecem recursos de gerenciamento de riscos e identificação de problemas. Isso facilita a compreensão do cenário atual de dados de uma organização e, ao mesmo tempo, oferece recursos como gerenciamento de ativos e avaliação de riscos.

**Responder**é um campo relativamente autoexplicativo, que abrange uma lista detalhada de eventos e tarefas que devem ser executados se uma organização estiver enfrentando um incidente de segurança. Trata-se de gerar um plano de resposta a incidentes, com vários esforços de coordenação e comunicação incluídos no campo.

**Proteger** é a base da maioria dos esforços de segurança que uma organização deve cobrir. Pode incluir muitas atividades que vão desde a criptografia de dados e o controle de acesso até o treinamento geral de conscientização para todos os funcionários da empresa.

**Recuperação**é tudo o que uma organização faz para se recuperar das consequências de um incidente de segurança cibernética. Esse campo abrange não apenas o backup e a recuperação, mas também inclui análises pós-incidente e possíveis melhorias no sistema existente com base nas análises mencionadas anteriormente.

Nenhum desses campos é mutuamente exclusivo; todos eles devem ser usados em conjunto para criar o sistema de segurança mais resiliente que possa resistir a todos os tipos de ameaças e ataques.

### NIST CSF 2.0 – Atualização de 2024

A segurança cibernética é um campo muito dinâmico que vem se desenvolvendo em ritmo acelerado há várias décadas. Dessa forma, as recomendações e diretrizes de segurança cibernética também precisam ser atualizadas.

Foi exatamente isso que aconteceu com a estrutura de segurança cibernética do NIST, com a versão 2.0 sendo lançada em fevereiro de 2024. Ela inclui muitos acréscimos e revisões ao conteúdo existente e, ao mesmo tempo, adiciona muitos elementos novos à mistura.

Um dos acréscimos mais significativos ao CSF é a inclusão de um campo totalmente novo chamado **Governar**. Ele é usado para expandir os cinco campos existentes, especialmente quando se trata de recursos orientados para o “controle” – medição do sucesso, revisão, planejamento etc.

O campo **Protect** também foi reformulado até certo ponto, introduzindo dois novos subcampos: Segurança de dados e Resiliência de infraestrutura. Ambos são usados não apenas para reforçar a necessidade de proteção de dados como um todo, mas também para expandir os métodos de segurança mais não convencionais, como backups imutáveis e vários métodos de resiliência.

O campo **Response** não recebeu muito conteúdo novo, mas as informações existentes foram fortemente reestruturadas, mantendo a mensagem original de usar as informações coletadas em diferentes campos para gerar medidas de resposta eficientes para várias situações.

Muitas outras alterações e modificações foram feitas na versão anterior do CSF, mas as informações acima destacam as alterações mais significativas na estrutura geral. A versão completa do NIST CSF 2.0 pode ser encontrada no [site oficial](https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-csf-20/final#pubs-documentation)
.

## Os desafios das tarefas de backup no contexto dos MSPs

Seria justo mencionar que o CSF está longe de ser a única informação que a agência fornece sobre o tópico de segurança de dados e outros tópicos semelhantes. Nesse contexto, gostaríamos de abordar outro elemento do NIST que gira em torno do tópico de tarefas de backup e recuperação especificamente para provedores de serviços gerenciados, o que o torna um pouco mais específico do que o CSF.

Um dos problemas mais específicos que o artigo do NCCoE apresenta é a questão dos sistemas de backup implementados, mas não testados ou planejados corretamente, o que os torna praticamente ineficazes. Um único evento de perda de dados causa problemas de marca, perda de reputação, perda de produtividade, perda de receita e muito mais. Nesse contexto, é fundamental garantir que os sistemas de backup sejam configurados e testados adequadamente.

### Como abordar os requisitos do NIST para backup e recuperação

Os backups de arquivos como meio de retomar a operação após algum tipo de evento de segurança cibernética ou violação de dados são reforçados no [NIST Interagency Report 7621 Rev. 1, Small Business Information Security](https://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.7621r1.pdf)
. O principal objetivo da pesquisa realizada pelo National Cybersecurity Center of Excellence é ajudar tanto as empresas quanto os MSPs que trabalham com elas a criar fluxos de trabalho e operações de backup adequados.

## Recomendações do NIST para backups

O [artigo](https://www.nccoe.nist.gov/sites/default/files/legacy-files/msp-protecting-data-extended.pdf)
 do NCCoE abrange três pilares principais das recomendações de backup fornecidas pelo NIST: Planejamento, implementação e teste.

### O pilar do planejamento

O **planejamento** é o primeiro pilar dos três; é um processo abrangente que ajuda a empresa a encontrar um equilíbrio entre as necessidades operacionais e os custos totais de funcionamento. A maioria das recomendações na parte “Planejamento” deste artigo é baseada na [NIST Special Publication (SP) 800-53, Rev 4](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf)
, incluindo elementos como:

- Determinação do tempo de restauração correto
- Determinar as dependências entre os sistemas e os elementos da infraestrutura
- Identificar quais arquivos devem ter prioridade no processo de backup
- Desenvolvimento de processos abrangentes para diferentes situações, incluindo elementos de resposta e recuperação
- Não depender de uma única cópia de backup do sistema (e, em vez disso, usar a estratégia de backup 3-2-1)
- Avaliar o status de sensibilidade geral de todos os elementos de dados, pois alguns deles precisariam ter medidas de segurança adicionais de acordo com várias estruturas e regulamentações de conformidade

### O pilar de implementação

**Implementação** é um pilar um pouco menos sofisticado que gira em torno da execução de ações pré-planejadas dentro das fronteiras da infraestrutura de uma empresa. Esse pilar específico inclui eventos como:

- Avaliação de possíveis locais de armazenamento de backup fora do local
- Integrar tecnologias modernas ao sistema de backup e recuperação (as tecnologias exatas recomendadas pelo NIST serão mencionadas em detalhes abaixo)
- Implementação de um sistema de “Go Bag” para fins de recuperação de dados confidenciais – uma coleção de dados críticos, como chaves de segurança e senhas, armazenados e protegidos em um local separado da infraestrutura geral do sistema
- Preparar um conjunto de sistemas e elementos de infraestrutura que possam funcionar totalmente separados da infraestrutura comercial original para serem usados somente em emergências

### O pilar de testes

**Teste** é o último, mas não menos importante, pilar das recomendações do NIST (pode ser chamado de Teste e Monitoramento de forma intercambiável, pois inclui elementos de ambos os processos). Ele é autoexplicativo em seu objetivo principal: testar e monitorar tecnologias, sistemas e fluxos de trabalho para garantir que estejam funcionando e ajudem em caso de desastre ou ataque cibernético. Esse pilar pode ser separado em dois grupos:

- *Teste*
  - Realizar testes automatizados
  - Verificar a integridade do backup
  - Avaliar o desempenho dos processos de recuperação
  - Extrair dados dos testes mencionados acima para ajustes futuros

- *Monitoramento*
  - Monitorar os processos de testes automatizados
  - Garantir que os backups sejam gerados corretamente
  - Garantir que os backups possam ser usados para restaurar os dados à sua forma original

## Tecnologias úteis para tarefas de backup

Para executar todas as ações e processos mencionados acima, há muitos recursos e tecnologias diferentes que o NIST recomenda usar na estrutura de backup e recuperação:

- *A automação do sistema de backup* é necessária para executar tarefas de backup em ambientes abrangentes que consistem em diferentes tipos de armazenamento – disco, fita, NAS, VM, armazenamento em nuvem e assim por diante.
- *O armazenamento de backup baseado em nuvem* funciona como uma ótima alternativa ao armazenamento local no local para backups devido à sua capacidade de permanecer separado de outras opções de armazenamento; ele também pode oferecer diferentes tipos de backup, métodos de implementação etc.
- *Diferentes tecnologias de armazenamento local* também podem oferecer vantagens exclusivas, dependendo do tipo de armazenamento – incluindo tudo, desde discos rígidos locais e mídias removíveis até armazenamento em nuvem, armazenamento WORM e outros tipos de armazenamento não convencionais
- *A criptografia de dados* geralmente serve como uma das medidas de segurança mais significativas para dados em trânsito e em repouso, oferecendo outra camada de proteção contra ações ilegais além dos próprios processos de backup.
- *Os backups para armazenamento baseado em nuvem* são tão necessários quanto os de suas contrapartes no local, garantindo que os dados em si ainda estejam disponíveis se o armazenamento em nuvem ficar off-line por algum motivo; pode não ser necessário em determinadas situações e casos de uso.

As seguintes publicações do NIST abrangem essas tecnologias e seus processos de implementação:

- [NIST SP 1800-26, Detecting and Responding to Ransomware and Other Destructive Events](https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond)
- [NIST SP 1800-25, Identifying and Protecting Assets Against Ransomware and Other Destructive Events](https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/identify-protect)
- [NIST SP 1800-11, Data Integrity: Recovering from Ransomware and Other Destructive Events](https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/recover)

## NIST e sua função em um ambiente moderno de segurança cibernética

O número de violações de dados e incidentes de segurança cibernética continua crescendo a cada ano que passa, e as próprias tecnologias estão melhorando em um ritmo extremamente rápido. Nesse contexto, qualquer coisa que explique os diferentes elementos de um sistema eficaz de proteção de segurança cibernética é um acréscimo bem-vindo ao esforço geral do setor para se manter à frente do ambiente de crimes cibernéticos. Praticamente qualquer empresa que precise aprimorar as medidas de segurança cibernética existentes pode aproveitar as recomendações do NIST para melhorar elementos específicos ou toda a infraestrutura em geral.

## Conclusão

No mundo atual, com o aumento do risco de ataques cibernéticos, a segurança cibernética é uma das principais preocupações dos líderes de tecnologia de todos os tipos de organizações. O NIST é uma grande instituição que abrange muitas áreas de aplicação, sendo sua estrutura de segurança cibernética um de seus elementos mais importantes. O NIST oferece vários padrões e recomendações diferentes com relação à segurança cibernética como um todo. Algumas dessas recomendações são usadas em um sentido geral, enquanto outras são um pouco mais específicas para cada caso, como o artigo acima do NCCoE sobre backups de MSPs e seus testes.

Embora as recomendações do NIST sejam obrigatórias apenas para uma determinada gama de empresas e negócios (incluindo todos os órgãos do governo federal dos EUA e praticamente qualquer empresa que faça negócios com o governo dos EUA como um todo), elas ainda podem ser usadas como considerações gerais para a configuração geral de backup e segurança cibernética. Muitas dessas recomendações são altamente detalhadas em sua natureza, o que torna mais fácil para muitas empresas diferentes implementá-las e melhorar sua situação de segurança cibernética.

### Compatibilidade do Bacula Enterprise e do NIST

Existem algumas soluções de backup e recuperação que já são criadas e gerenciadas com todos os requisitos do NIST em mente. No entanto, algumas soluções vão mais longe do que outras e, para organizações preocupadas com a segurança, o Bacula Enterprise é provavelmente o exemplo mais forte disso, oferecendo uma plataforma abrangente de backup e recuperação com níveis de segurança especialmente altos que atendem e superam todos os requisitos de auditoria do NIST.

O Bacula pode oferecer uma infinidade de recursos e capacidades que o tornam muito melhor para garantir a conformidade de uma organização do que a maioria de seus concorrentes, incluindo:

- Criptografia de backup, independentemente de onde estejam armazenados.
- Verificações regulares da integridade dos dados.
- Recursos detalhados de geração de relatórios.
- Vastos recursos de registro em log.
- Suporte para políticas de proteção de dados automatizadas e centralizadas.
- Recursos avançados de imutabilidade de dados.
- Flexibilidade em termos de partição de dados.
- Muitos recursos de integração com soluções de monitoramento externo.
- Suporte para muitos tipos diferentes de armazenamento.
- Vária gama de tipos de imutabilidade e compatibilidade.
- Resiliência de infraestrutura extremamente alta em comparação com outros fornecedores de backup e recuperação.
- Recursos de relatórios amplos e granulares

O Bacula Enterprise não apenas pode cobrir prontamente todos os seis pilares do NIST (Proteger, Identificar, Detectar, Responder, Recuperar e Governar), mas também é compatível com FIPS 140-2 e suporta muitas outras estruturas regulatórias, incluindo GDPR, CCPA, FISMA e muito mais. Mais informações sobre os recursos de conformidade do Bacula Enterprise podem ser encontradas [aqui](https://www.baculasystems.com/wp-content/uploads/2024/04/Bacula_Leading_In_Compliance_Enablement.pdf)
.

## PERGUNTAS FREQUENTES

### Como o NIST está conectado ao setor de segurança cibernética?

A segurança cibernética é um dos pilares mais essenciais do NIST, que atua como desenvolvedor e distribuidor de estruturas de segurança para ajudar as empresas a combater todos os tipos de ameaças cibernéticas.

### Como o NIST pode ajudar as empresas com problemas de segurança cibernética?

O NIST não apenas oferece uma estrutura de segurança cibernética completa como base para suas recomendações de segurança, mas também há muitas outras recomendações e documentos mais específicos, como o artigo do NCCoE sobre testes de backup para MSPs que mencionamos anteriormente.

### Quais são as recomendações do NIST quando se trata de backups de dados?

O NIST oferece muitas opções diferentes para melhorar a estrutura de backup existente. Muitas delas são específicas para cada caso, mas algumas das recomendações mais comuns incluem a adesão à estratégia 3-2-1, a criptografia de dados, a imutabilidade do backup e muito mais.

Sobre o autor

[https://www.linkedin.com/in/rob-morrison-3aa443/](https://www.linkedin.com/in/rob-morrison-3aa443/)

Rob Morrison é o diretor de marketing da Bacula Systems. Ele começou sua carreira de marketing de TI na Silicon Graphics, na Suíça, e desempenhou intensamente várias funções de administração de marketing por quase 10 anos. Nos 10 anos seguintes, Rob também ocupou vários cargos de administração de marketing na JBoss, Red Hat e Pentaho, assegurando o crescimento da participação no mercado dessas empresas reconhecidas. Ele é formado pela Universidade de Plymouth e tem um diploma de honras em mídia digital e comunicação, além de ter feito um programa de estudos no exterior.

*Posts Relacionados*

[https://www.baculasystems.com/pt/pt-blog/seguranca-cibernetica-na-area-da-saude-desafios-para-os-hospitais/](https://www.baculasystems.com/pt/pt-blog/seguranca-cibernetica-na-area-da-saude-desafios-para-os-hospitais/)
[Desafios à segurança da informação na área da saúde em hospitais e sistemas de saúde modernos](https://www.baculasystems.com/pt/pt-blog/seguranca-cibernetica-na-area-da-saude-desafios-para-os-hospitais/)

julho 2, 2026

[https://www.baculasystems.com/pt/pt-blog/seguranca-dos-prontuarios-eletronicos-de-saude/](https://www.baculasystems.com/pt/pt-blog/seguranca-dos-prontuarios-eletronicos-de-saude/)
[Segurança dos Prontuários Médicos Eletrônicos: Dados dos Pacientes, HIPAA e as ameaças que o setor de saúde não pode se dar ao luxo de ignorar](https://www.baculasystems.com/pt/pt-blog/seguranca-dos-prontuarios-eletronicos-de-saude/)

junho 17, 2026

[https://www.baculasystems.com/pt/pt-blog/15-principais-fornecedores-de-hpc/](https://www.baculasystems.com/pt/pt-blog/15-principais-fornecedores-de-hpc/)
[Os 15 principais provedores e empresas de HPC](https://www.baculasystems.com/pt/pt-blog/15-principais-fornecedores-de-hpc/)

maio 2, 2024

[https://www.baculasystems.com/pt/pt-blog/o-que-e-continuidade-de-negocios-e-recuperacao-de-desastres/](https://www.baculasystems.com/pt/pt-blog/o-que-e-continuidade-de-negocios-e-recuperacao-de-desastres/)
[O que é continuidade dos negócios e recuperação de desastres? A diferença entre BC e DR](https://www.baculasystems.com/pt/pt-blog/o-que-e-continuidade-de-negocios-e-recuperacao-de-desastres/)

maio 1, 2024

[https://www.baculasystems.com/pt/pt-blog/estrategia-de-backup-corporativo/](https://www.baculasystems.com/pt/pt-blog/estrategia-de-backup-corporativo/)
[Práticas recomendadas e guia para a estratégia de backup corporativo](https://www.baculasystems.com/pt/pt-blog/estrategia-de-backup-corporativo/)

fevereiro 22, 2024

[https://www.baculasystems.com/pt/pt-blog/backup-imutavel/](https://www.baculasystems.com/pt/pt-blog/backup-imutavel/)
[O que é backup imutável? Backups imutáveis como medida de segurança de dados](https://www.baculasystems.com/pt/pt-blog/backup-imutavel/)

fevereiro 6, 2024
