NIST lança versão 2.0 do Landmark Cybersecurity Framework

NIST lança versão 2.0 do Landmark Cybersecurity Framework. A agência finalizou a primeira grande atualização do quadro desde a sua criação em 2014.

O Instituto Nacional de Padrões e Tecnologia (NIST) atualizou o amplamente utilizado Quadro de Segurança Cibernética (CSF), seu documento de orientação histórico para reduzir o risco de segurança cibernética. A nova edição 2.0 foi projetada para todos os públicos, setores industriais e tipos de organização, desde as menores escolas e organizações sem fins lucrativos até as maiores agências e corporações — independentemente do seu grau de sofisticação em segurança cibernética. 

Em resposta aos numerosos comentários recebidos sobre a versão preliminar , o NIST expandiu a orientação principal do CSF ​​e desenvolveu recursos relacionados para ajudar os usuários a tirar o máximo proveito da estrutura. Estes recursos destinam-se a proporcionar a diferentes públicos percursos personalizados para o QEC e tornar o quadro mais fácil de pôr em prática. 

O CSF tem sido uma ferramenta vital para muitas organizações, ajudando-as a antecipar e lidar com ameaças à segurança cibernética”, disse o subsecretário de Comércio para Padrões e Tecnologia e diretor do NIST, Laurie E. Locascio. “O CSF 2.0, que se baseia em versões anteriores, não se trata apenas de um documento. Trata-se de um conjunto de recursos que podem ser personalizados e usados ​​individualmente ou em combinação ao longo do tempo, à medida que as necessidades de segurança cibernética de uma organização mudam e suas capacidades evoluem.” 

O CSF 2.0, que apoia a implementação da Estratégia Nacional de Cibersegurança , tem um âmbito alargado que vai além da proteção de infraestruturas críticas, como hospitais e centrais elétricas, para todas as organizações de qualquer setor. Tem também um novo foco na governação, que abrange a forma como as organizações tomam e executam decisões informadas sobre a estratégia de segurança cibernética. A componente de governação do CSF ​​enfatiza que a segurança cibernética é uma importante fonte de risco empresarial que os líderes seniores devem considerar juntamente com outros, como finanças e reputação. 

Desenvolvida trabalhando em estreita colaboração com as partes interessadas e refletindo os mais recentes desafios e práticas de gestão de segurança cibernética, esta atualização visa tornar a estrutura ainda mais relevante para uma faixa mais ampla de usuários nos Estados Unidos e no exterior”, de acordo com Kevin Stine, chefe do NIST. Divisão de Segurança Cibernética Aplicada. 

Seguindo uma Ordem Executiva presidencial, o NIST lançou pela primeira vez o CSF ​​em 2014 para ajudar as organizações a compreender, reduzir e comunicar sobre o risco de segurança cibernética. O núcleo da estrutura está agora organizado em torno de seis funções principais: Identificar, Proteger, Detectar, Responder e Recuperar, juntamente com a função Governar recentemente adicionada ao CSF ​​2.0. Quando consideradas em conjunto, estas funções proporcionam uma visão abrangente do ciclo de vida para a gestão do risco de segurança cibernética.

A estrutura atualizada prevê que as organizações chegarão ao CSF ​​com diversas necessidades e graus de experiência na implementação de ferramentas de segurança cibernética. Os novos adotantes podem aprender com o sucesso de outros usuários e selecionar seu tópico de interesse a partir de um novo conjunto de exemplos de implementação e guias de início rápido projetados para tipos específicos de usuários, como pequenas empresas, gerentes de risco corporativo e organizações que buscam garantir seu fornecimento correntes. 

Uma nova ferramenta de referência do CSF ​​2.0 simplifica agora a maneira como as organizações podem implementar o CSF, permitindo aos usuários navegar, pesquisar e exportar dados e detalhes da orientação principal do CSF ​​em formatos consumíveis por humanos e legíveis por máquina.

Além disso, o CSF ​​2.0 oferece um catálogo pesquisável de referências informativas que mostra como as suas ações atuais são mapeadas no CSF. Este catálogo permite que uma organização cruze as orientações do CSF ​​com mais de 50 outros documentos de segurança cibernética, incluindo outros do NIST, como o SP 800-53 Rev. 5 , um catálogo de ferramentas (chamadas controles) para alcançar resultados específicos de segurança cibernética.

As organizações também podem consultar a Ferramenta de Referência de Segurança Cibernética e Privacidade (CPRT), que contém um conjunto inter-relacionado, navegável e baixável de documentos de orientação do NIST que contextualiza esses recursos do NIST, incluindo o CSF, com outros recursos populares. E o CPRT oferece formas de comunicar estas ideias tanto aos especialistas técnicos como aos executivos, para que todos os níveis de uma organização possam permanecer coordenados. 

O NIST planeja continuar aprimorando seus recursos e tornando o CSF ​​um recurso ainda mais útil para um conjunto mais amplo de usuários, disse Stine, e o feedback da comunidade será crucial. 

À medida que os usuários personalizam o CSF, esperamos que compartilhem seus exemplos e sucessos, porque isso nos permitirá ampliar suas experiências e ajudar outras pessoas”, disse ele. “Isso ajudará organizações, setores e até mesmo nações inteiras a compreender e gerenciar melhor seus riscos de segurança cibernética.” 

O CSF é amplamente utilizado internacionalmente; As versões 1.1 e 1.0 foram traduzidas para 13 idiomas, e o NIST espera que o CSF ​​2.0 também seja traduzido por voluntários em todo o mundo. Essas traduções serão adicionadas ao crescente portfólio de recursos CSF do NIST. Nos últimos 11 anos, o trabalho do NIST com a Organização Internacional de Normalização (ISO), em conjunto com a Comissão Eletrotécnica Internacional (IEC), ajudou a alinhar vários documentos de segurança cibernética. Os recursos ISO/IEC agora permitem que as organizações construam estruturas de segurança cibernética e organizem controles usando as funções do CSF. O NIST planeja continuar trabalhando com a ISO/IEC para continuar esse alinhamento internacional.

E o feedback começa…

Davis Hake, cofundador, Resiliência:

O CSF 2.0 proporciona um enorme valor às organizações, especialmente quando se trata de orientação sobre como otimizar, avaliar e investir na gestão de riscos cibernéticos. Em particular, parece haver um consenso entre os líderes de segurança de que a adição da governação como uma função fundamental é uma peça necessária para que isto funcione para as empresas. Destaca que a cibersegurança, tal como as finanças e a reputação, é uma importante fonte de risco empresarial que as empresas devem considerar e para a qual ter um plano.

Mas para gerir com sucesso o risco cibernético, é importante determinar o que é aceitável, o que precisa de ser mitigado ou se a transferência de risco através de seguros é o curso de ação apropriado. Embora o CST 2.0 discuta apenas brevemente a transferência de riscos, é evidente que ajuda as organizações a permanecerem resilientes, pelo que o NIST deveria considerar concentrar-se mais nisto nas suas próximas revisões. Da mesma forma, ausente do CST 2.0 está a importância da quantificação do risco cibernético, que pode ajudar as organizações a analisar o seu risco de forma mais holística e a traduzir o risco entre a segurança técnica e os silos empresariais da liderança. Acredito que este equilíbrio entre quantificação e priorização de riscos cibernéticos, visibilidade de ameaças cibernéticas e transferência de riscos cibernéticos merece mais atenção do NIST em atualizações futuras.

Fonte: NIST

Veja também:

Sobre mindsecblog 2427 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. NIST Cybersecurity Framework 2.0: 4 etapas para começar

Deixe sua opinião!