Skip to content
Conscientização

NIST CSF 2.0: framework de cibersegurança valida metodologia da Eskive

A versão mais recente do documento propõe justamente a abordagem de treinamento e gestão de risco proposta antecipadamente por nossa plataforma.

NIST CSF 2.0: framework de cibersegurança valida metodologia da Eskive
Ramon de Souza

Ramon de Souza

(ISC)² Certified in Cybersecurity | Journalist | Author | Speaker

min de leitura

 

A Eskive tem se destacado no mercado de segurança da informação pela sua metodologia pioneira de redução do risco humano, que alia treinamentos, simulações realistas e indicadores de engajamento. Esse diferencial tem sido, inclusive, reconhecido em prêmios e rankings de inovação — em 2025, conquistamos o 3º lugar no Top 10 de Cibersegurança do Ranking 100 Open Startups, e avançamos da 59ª para a 42º posição na listagem geral.

Esse reconhecimento não é apenas um troféu, mas uma validação da aposta estratégica em treinar pessoas (e não apenas comprar ferramentas) como forma de mitigar o mais crítico vetor de incidentes de segurança: o fator humano.

Esse pioneirismo se reflete ainda na nossa atuação em eventos de grande porte do setor. Também em 2025, nossa CEO Priscila Meyer apresentou no Mind The Sec (MTS) insights sobre estratégias de conscientização eficazes, ilustrando como falhas humanas tornavam insuficientes medidas meramente tecnológicas. Na palestra, foi enfatizado que a segurança deve ser encarada de forma colaborativa e endossada pela alta direção.

Em suas palavras, “a cultura é top-down”: se a alta direção está focada em segurança, toda a empresa engaja nessa direção. Tal conceito é central na metodologia própria da Eskive, desenvolvida ao longo de anos de pesquisa para aliviar a carga dos times de TI e distribuir responsabilidades de forma estruturada. E, agora, temos a honra de demonstrar como essa metodologia está apoiada em um dos maiores referenciais em cibersegurança do mundo.

O que é o NIST Cybersecurity Framework 2.0?

O Cybersecurity Framework (CSF) é uma referência internacional para gestão de riscos cibernéticos, lançado originalmente em 2014 com foco em infraestruturas críticas (como energia, saúde, transporte) pelo National Institute of Standards and Technology (NIST).

A versão 2.0, publicada em 2024, ampliou seu escopo o deixar claro que o framework serve a qualquer organização, independentemente de porte, setor ou grau de maturidade, para entender, priorizar e comunicar seus esforços de cibersegurança. Em outras palavras, o CSF não é mais restrito a ambientes críticos: ele se tornou um framework global aplicável a empresas de todas as naturezas.

O documento oficial já destaca essa transição. O próprio título original “Framework for Improving Critical Infrastructure Cybersecurity” (usado na versão 1.1) foi abandonado no CSF 2.0. O novo texto enfatiza que o CSF oferece uma taxonomia de resultados desejados em cibersegurança, sem impor soluções específicas. Ele serve como base para qualquer organização gerenciar seus riscos cibernéticos de forma integrada, alinhando expectativas dos executivos, gestão de riscos e operação técnica.

A atualização, portanto, responde às demandas atuais do mercado: reconhece que segurança da informação é disciplina organizacional e estratégica, não apenas técnica, e reforça a importância de governança corporativa explícita nesse processo.

Awareness and Training (PR.AT) no CSF 2.0

Dentro do CSF 2.0, a função Protect (PR) reúne práticas de proteção contra ameaças. Uma de suas categorias-chave é Awareness and Training (PR.AT), que trata da educação e capacitação de pessoas. O framework define que “os colaboradores da organização recebem conscientização e treinamento em cibersegurança para poderem desempenhar suas tarefas relacionadas à segurança”.

Em outros termos, não basta ter ferramentas sofisticadas: é preciso que todos na empresa estejam informados sobre riscos e saibam reagir adequadamente.

O CSF 2.0 subdivide o PR.AT em dois pontos principais:

  • PR.AT-01: treinamento de conscientização para tarefas gerais — todos os colaboradores devem adquirir conhecimento básico de segurança cibernética e boas práticas.

  • PR.AT-02: treinamento para papéis especializados — indivíduos em funções críticas (TI, desenvolvedores, gestores, etc.) recebem capacitação adicional, focada nas ameaças específicas de suas atividades.

Esse detalhamento reforça que a conscientização não é uniforme: pessoas em áreas distintas precisam de conteúdos e níveis de engajamento diferentes. Em vez de um treinamento genérico anual, o CSF 2.0 recomenda programas contínuos e sob medida, alinhados às funções dos colaboradores. Esse enfoque por função destaca que a responsabilidade pelo risco humano é compartilhada: cada nível hierárquico deve compreender os riscos pertinentes e como mitigá-los no seu dia a dia.

Outro aspecto importante do PR.AT no CSF 2.0 é a ênfase em medir e melhorar continuamente o programa de awareness. O framework sugere que organizações monitorem indicadores de participação, conhecimento e mudança comportamental, ajustando o conteúdo conforme as ameaças evoluem.

Em resumo, PR.AT não é simplesmente checklist de treinamento, mas parte da gestão de risco integrada, na qual a conscientização dos colaboradores é avaliada, reportada e refinada.

Comunicação bidirecional de riscos

Um dos pontos mais inovadores do CSF 2.0 está no Item 5.1 – Improving Risk Management Communication. Nele, o NIST ressalta que a comunicação de riscos deve fluir em ambos os sentidos dentro da organização. Em vez de ser apenas um discurso descendente (da alta gestão para os colaboradores), as informações sobre segurança devem subir da ponta para a liderança.

Na prática, isso significa estabelecer canais formais onde executivos, gerentes e profissionais de TI compartilham percepções sobre ameaças, vulnerabilidades e necessidades. O CSF 2.0 ilustra isso com um diagrama de comunicação bidirecional: de um lado, executivos definem prioridades e planos; de outro, os gestores operacionais e técnicos enviam feedback, alertas e aprendizados para os níveis superiores.

Conforme descreve o próprio NIST, a estrutura “fomenta o fluxo de informação bidirecional […] entre executivos, que focam nas prioridades estratégicas, e gerentes, que lidam com riscos específicos, e entre gerentes e praticantes que implementam as tecnologias”.

Auxílio mútuo e diálogo aberto

Essa abordagem assegura que a equipe executiva receba informações reais das operações diárias e que os colaboradores da linha de frente entendam a visão estratégica da empresa. É um mecanismo de responsabilidade compartilhada: executivos sabem o que está acontecendo “lá embaixo”, e funcionários e gestores têm noção do propósito maior. Além disso, o CSF 2.0 destaca que sinais de alerta gerados pelos próprios colaboradores (insights, incidentes menores, preocupações) devem chegar até a liderança.

Dessa forma, melhora-se a capacidade de antecipar ataques e ajustar controles antes que pequenos problemas se transformem em grandes prejuízos. O próprio NIST incentiva as organizações a adotarem essa comunicação bidirecional. Em material de orientação complementar, destaca-se a promoção de canais de comunicação de risco entre a alta gestão e os profissionais de segurança, visando reduzir lacunas de informação e acelerar a resposta a incidentes.

Ou seja, promover diálogo aberto sobre segurança faz parte das melhores práticas modernas e está alinhado à governança mencionada no CSF 2.0.

Metodologia Eskive: três níveis de responsabilização

A Eskive propõe justamente uma metodologia consistente com os princípios do CSF 2.0, antes mesmo da atualização ter sido lançada. A platforma distribui responsabilidades em três níveis hierárquicos — alta direção, lideranças intermediárias e equipes de colaboradores —, criando um ciclo de cobrança e apoio mútuo.

Em vez de sobrecarregar um único setor (como TI ou RH), cada grupo entende seu papel, supervisiona o nível abaixo e reporta ao nível acima. Como descrito por Meyer, a metodologia “trabalha em três níveis: alta direção, lideranças e equipes, com cada um entendendo seu papel, cobrando o nível hierárquico logo abaixo e reportando ao nível hierárquico logo acima”.

Dessa forma, constrói-se uma cultura organizacional focada em segurança: a alta gestão define o tom (além de demonstrar compromisso com treinamento e recursos), as lideranças reforçam as práticas em cada área e os colaboradores recebem conscientização adequada às suas funções. Observe como esse modelo espelha o que o NIST recomenda. No CSF 2.0, todos os níveis da organização devem participar do programa de awareness (PR.AT), e a comunicação de risco deve ser contínua entre eles.

A Eskive, então, não apenas “antecipou” essa visão; ela a operacionalizou. Por exemplo, temos treinamentos customizados por perfil profissional (equivalente ao PR.AT-02 do framework), enquanto atividades de engajamento e medições (dashboards de métricas, simulações de phishing, boletins informativos) atingem a todos de forma escalonada. Cada líder é treinado para reforçar o comportamento seguro em sua equipe e monitorar indicadores, reportando progresso à alta direção.

Como se não bastasse, também criamos um ambiente de fomento à retroalimentação: colaboradores podem sinalizar dificuldades, perguntar sobre incidentes ou sugerir melhorias, cumprindo o papel de “praticantes que implementam tecnologia” no diagrama do NIST. Por outro lado, gestores e diretores recebem relatórios claros sobre risco humano para tomar decisões estratégicas. Essa clareza organizacional e a interação contínua concretizam a comunicação bidirecional defendida pelo item 5.1 do CSF 2.0.

Um reconhecimento ímpar

O alinhamento entre a metodologia da Eskive e um padrão global de segurança reforça o pioneirismo da empresa, e essa validação se torna ainda mais significativa quando comparamos com o que o NIST considera “melhores práticas”. A Eskive vai além de checklists: ela cria um ecossistema interno de governança de segurança, exatamente como preconiza o framework atualizado.

Em última análise, o CSF 2.0 não apenas orienta organizações a fortalecer processos técnicos; ele legitima metodologias que envolvem toda a empresa na segurança. A experiência da Eskive demonstra que investir em conscientização estruturada, comunicação efetiva e responsabilização compartilhada gera impacto mensurável.

Por isso, nossos cases de sucesso em corporações de todos os tamanhos e nichos da indústria reforçam ainda mais a tese de que metodologias colaborativas, ancoradas em frameworks reconhecidos como o NIST CSF 2.0, são o caminho para reduzir efetivamente o risco humano.

1º PAINEL ESKIVE - Desafios e Estratégias contra o Cibercrime no Brasi
Confira um debate multifacetada entre nossa CEO, Priscila Meyer, e especialistas do mercado sobre o universo dos golpes, fraudes e crimes cibernéticos no Brasil. ⭣

1º Painel Eskive

 

Últimos artigos

NIST CSF 2.0: framework de cibersegurança valida metodologia da Eskive

NIST CSF 2.0: framework de cibersegurança valida metodologia da Eskive

A versão mais recente do documento propõe justamente a abordagem de treinamento e gestão de risco proposta antecipadamente por nossa plataf...

NIST CSF 2.0: framework de cibersegurança valida metodologia da Eskive
Ramon de Souza

Fevereiro 13, 2026

Conscientização
Carnaval: golpes digitais e fraudes financeiras mais comuns nessa época

Carnaval: golpes digitais e fraudes financeiras mais comuns nessa época

Os dias de folia montam um cenário perfeito para criminosos se aproveitarem do descuido alheio e atacar os bolsos desprotegidos.

Carnaval: golpes digitais e fraudes financeiras mais comuns nessa época
Ramon de Souza

Fevereiro 06, 2026

Conscientização
Cultura de denúncia: criando canais e incentivando o reporte de ameaças

Cultura de denúncia: criando canais e incentivando o reporte de ameaças

Entenda como é possível transformar os colaboradores em sensores de segurança para identificar ameaças cibernéticas na ponta das operações.

Cultura de denúncia: criando canais e incentivando o reporte de ameaças
Ramon de Souza

Janeiro 30, 2026

Segurança da Informação
© 2025 Eskive S.A. Todos os direitos reservados.
Rua Rio de Janeiro, 471 –  7º andar, Belo Horizonte – MG  | CEP: 30160-041