NIST lança versão 2.0 do Landmark Cybersecurity Framework

NIST lança versão 2.0 do Landmark Cybersecurity Framework. A agência finalizou a primeira grande atualização do quadro desde a sua criação em 2014.

O Instituto Nacional de Padrões e Tecnologia (NIST) atualizou o amplamente utilizado Quadro de Segurança Cibernética (CSF), seu documento de orientação histórico para reduzir o risco de segurança cibernética. A nova edição 2.0 foi projetada para todos os públicos, setores industriais e tipos de organização, desde as menores escolas e organizações sem fins lucrativos até as maiores agências e corporações — independentemente do seu grau de sofisticação em segurança cibernética.

Em resposta aos numerosos comentários recebidos sobre a versão preliminar , o NIST expandiu a orientação principal do CSF e desenvolveu recursos relacionados para ajudar os usuários a tirar o máximo proveito da estrutura. Estes recursos destinam-se a proporcionar a diferentes públicos percursos personalizados para o QEC e tornar o quadro mais fácil de pôr em prática.

“O CSF tem sido uma ferramenta vital para muitas organizações, ajudando-as a antecipar e lidar com ameaças à segurança cibernética”, disse o subsecretário de Comércio para Padrões e Tecnologia e diretor do NIST, Laurie E. Locascio. “O CSF 2.0, que se baseia em versões anteriores, não se trata apenas de um documento. Trata-se de um conjunto de recursos que podem ser personalizados e usados individualmente ou em combinação ao longo do tempo, à medida que as necessidades de segurança cibernética de uma organização mudam e suas capacidades evoluem.”

O CSF 2.0, que apoia a implementação da Estratégia Nacional de Cibersegurança , tem um âmbito alargado que vai além da proteção de infraestruturas críticas, como hospitais e centrais elétricas, para todas as organizações de qualquer setor. Tem também um novo foco na governação, que abrange a forma como as organizações tomam e executam decisões informadas sobre a estratégia de segurança cibernética. A componente de governação do CSF enfatiza que a segurança cibernética é uma importante fonte de risco empresarial que os líderes seniores devem considerar juntamente com outros, como finanças e reputação.

“Desenvolvida trabalhando em estreita colaboração com as partes interessadas e refletindo os mais recentes desafios e práticas de gestão de segurança cibernética, esta atualização visa tornar a estrutura ainda mais relevante para uma faixa mais ampla de usuários nos Estados Unidos e no exterior”, de acordo com Kevin Stine, chefe do NIST. Divisão de Segurança Cibernética Aplicada.

Seguindo uma Ordem Executiva presidencial, o NIST lançou pela primeira vez o CSF em 2014 para ajudar as organizações a compreender, reduzir e comunicar sobre o risco de segurança cibernética. O núcleo da estrutura está agora organizado em torno de seis funções principais: Identificar, Proteger, Detectar, Responder e Recuperar, juntamente com a função Governar recentemente adicionada ao CSF 2.0. Quando consideradas em conjunto, estas funções proporcionam uma visão abrangente do ciclo de vida para a gestão do risco de segurança cibernética.

A estrutura atualizada prevê que as organizações chegarão ao CSF com diversas necessidades e graus de experiência na implementação de ferramentas de segurança cibernética. Os novos adotantes podem aprender com o sucesso de outros usuários e selecionar seu tópico de interesse a partir de um novo conjunto de exemplos de implementação e guias de início rápido projetados para tipos específicos de usuários, como pequenas empresas, gerentes de risco corporativo e organizações que buscam garantir seu fornecimento correntes.

Uma nova ferramenta de referência do CSF 2.0 simplifica agora a maneira como as organizações podem implementar o CSF, permitindo aos usuários navegar, pesquisar e exportar dados e detalhes da orientação principal do CSF em formatos consumíveis por humanos e legíveis por máquina.

Além disso, o CSF 2.0 oferece um catálogo pesquisável de referências informativas que mostra como as suas ações atuais são mapeadas no CSF. Este catálogo permite que uma organização cruze as orientações do CSF com mais de 50 outros documentos de segurança cibernética, incluindo outros do NIST, como o SP 800-53 Rev. 5 , um catálogo de ferramentas (chamadas controles) para alcançar resultados específicos de segurança cibernética.

As organizações também podem consultar a Ferramenta de Referência de Segurança Cibernética e Privacidade (CPRT), que contém um conjunto inter-relacionado, navegável e baixável de documentos de orientação do NIST que contextualiza esses recursos do NIST, incluindo o CSF, com outros recursos populares. E o CPRT oferece formas de comunicar estas ideias tanto aos especialistas técnicos como aos executivos, para que todos os níveis de uma organização possam permanecer coordenados.

O NIST planeja continuar aprimorando seus recursos e tornando o CSF um recurso ainda mais útil para um conjunto mais amplo de usuários, disse Stine, e o feedback da comunidade será crucial.

“À medida que os usuários personalizam o CSF, esperamos que compartilhem seus exemplos e sucessos, porque isso nos permitirá ampliar suas experiências e ajudar outras pessoas”, disse ele. “Isso ajudará organizações, setores e até mesmo nações inteiras a compreender e gerenciar melhor seus riscos de segurança cibernética.”

O CSF é amplamente utilizado internacionalmente; As versões 1.1 e 1.0 foram traduzidas para 13 idiomas, e o NIST espera que o CSF 2.0 também seja traduzido por voluntários em todo o mundo. Essas traduções serão adicionadas ao crescente portfólio de recursos CSF do NIST. Nos últimos 11 anos, o trabalho do NIST com a Organização Internacional de Normalização (ISO), em conjunto com a Comissão Eletrotécnica Internacional (IEC), ajudou a alinhar vários documentos de segurança cibernética. Os recursos ISO/IEC agora permitem que as organizações construam estruturas de segurança cibernética e organizem controles usando as funções do CSF. O NIST planeja continuar trabalhando com a ISO/IEC para continuar esse alinhamento internacional.

E o feedback começa…

Davis Hake, cofundador, Resiliência:

“O CSF 2.0 proporciona um enorme valor às organizações, especialmente quando se trata de orientação sobre como otimizar, avaliar e investir na gestão de riscos cibernéticos. Em particular, parece haver um consenso entre os líderes de segurança de que a adição da governação como uma função fundamental é uma peça necessária para que isto funcione para as empresas. Destaca que a cibersegurança, tal como as finanças e a reputação, é uma importante fonte de risco empresarial que as empresas devem considerar e para a qual ter um plano.

Mas para gerir com sucesso o risco cibernético, é importante determinar o que é aceitável, o que precisa de ser mitigado ou se a transferência de risco através de seguros é o curso de ação apropriado. Embora o CST 2.0 discuta apenas brevemente a transferência de riscos, é evidente que ajuda as organizações a permanecerem resilientes, pelo que o NIST deveria considerar concentrar-se mais nisto nas suas próximas revisões. Da mesma forma, ausente do CST 2.0 está a importância da quantificação do risco cibernético, que pode ajudar as organizações a analisar o seu risco de forma mais holística e a traduzir o risco entre a segurança técnica e os silos empresariais da liderança. Acredito que este equilíbrio entre quantificação e priorização de riscos cibernéticos, visibilidade de ameaças cibernéticas e transferência de riscos cibernéticos merece mais atenção do NIST em atualizações futuras.”

Fonte: NIST