NIST e a Gestão dos Riscos de Segurança Cibernética

NIST e a Gestão dos Riscos de Segurança Cibernética. Instituto Nacional de Padrões e Tecnologia (NIST) atualizou o seu Cybersecurity Framework (CSF) lançando a versão 2.0.

Para antecipar o futuro e tentar garantir a utilidade da ferramenta para os mais variados segmentos, o Instituto Nacional de Padrões e Tecnologia (NIST) atualizou o seu Cybersecurity Framework (CSF) lançando a versão 2.0. É a primeira reformulação completa da abordagem sistêmica da agência para a gestão dos riscos de segurança, desde o seu lançamento, há quase uma década. Até 4 de novembro o draft está aberto para comentários e a previsão é que o texto final seja publicado no início de 2024.

Referência no tema, o NIST CSF reúne padrões, diretrizes e práticas recomendadas para ajudar as organizações a implementar e aprimorar as posturas de segurança cibernética. Enquanto a primeira versão da metodologia tinha como foco a avaliação qualitativa dos riscos de infraestruturas críticas, como hospitais e companhias de energia, a atualização destaca a importância da medição quantitativa para compreender as probabilidades e os impactos dos eventos de segurança, ampliando o escopo de aplicação para corporações de uma forma geral.

A quantificação possibilita o gerenciamento do risco cibernético baseado em dados, melhor comunicação com a liderança e tomada de decisões apoiada em informações. Proporciona, ainda, medições objetivas de risco, possibilitando a definição de limites de tolerância, priorização, correlação com gastos e redução dos riscos ao longo do tempo.

Outra novidade é que os protocolos de segurança de melhores práticas ganharam uma sexta função, de Governança (que abrange a forma como a organização deve executar suas decisões internas), que se soma às cinco estabelecidas anteriormente: Identificar, Proteger, Detectar, Responder e Recuperar, essenciais para a construção dos pilares de um programa de cibersegurança bem-sucedido. A medida enfatiza o fato de a segurança digital ser uma fonte importante de risco empresarial, ao lado das questões legais e financeiras, e serve de alerta para as lideranças.

A metodologia NIST CSF fornece, ainda, um guia passo a passo para criação de um Programa de Gerenciamento de Riscos de Segurança Cibernética, com exemplos de Framework para situações específicas, além de garantir uma linguagem comum e uma metodologia sistemática para gerir o risco em todos os setores, facilitando a comunicação entre o pessoal técnico e não técnico. O processo envolve a priorização e definição do escopo, condução de uma avaliação de risco, análise e priorização de lacunas, além da implementação efetiva do plano de ação.

Outro objetivo da versão 2.0 é explicar como as organizações podem aproveitar as estruturas de tecnologia, padrões e diretrizes, seja do NIST ou de outras fontes, para implementar o Plano de Segurança. A ferramenta disponibiliza recursos on-line para pesquisa e exportação de dados em formatos manual e automatizado. 

Muitas organizações ainda não têm um plano de resposta a incidentes cibernéticos ou não realizam testes regularmente. Outras não comunicam adequadamente os incidentes de segurança, o que pode levar a danos à reputação e à confiança dos clientes. A detecção de ameaças digitais é um processo complexo que requer ferramentas avançadas e habilidades especializadas.

A visibilidade da superfície de ataque precisa ser uma prioridade de qualquer empresa, garantida por metodologia e ferramentas modernas capazes de correlacionar diferentes sensores e dados em tempo real, e trazer informações do que é mais crítico e vulnerável, para a equipe poder priorizar e contra-atacar. Ao promover a compreensão da medição dos riscos digitais, o NIST permite que as organizações compreendam melhor suas exposições e tomem decisões estratégicas para elevar a postura de segurança.

Por: Cesar Candido é diretor Geral da Trend Micro no Brasil

Veja também:

• Proofpoint lança inovações pioneiras no setor de cibersegurança para quebrar a cadeia de ataques
• LGPD: PMEs precisam se adequar, senão vão morrer
• IA Generativa e Segurança: é possível conciliar?
• DIA DO CLIENTE: saiba como se proteger de golpes nessa data
• Empresas podem impedir funcionários de usarem o TikTok? 
• Cinco ações para consolidar a segurança na nuvem e reduzir custos 
• Ataque Man-in-the-Middle, sua empresa está preparada para este tipo de fraude? 
• Quer melhorar a segurança da informação e a proteção de dados? Tire as senhas!
• Hacks ao setor da saúde incidem mais sobre registros de pacientes
• Botnet Mirai: eletrodomésticos podem atacar usuários?
• O impossível já não existe mais?
• Desafios e impacto da cibersegurança nas infraestruturas críticas