O National Institute of Standards and Technology (NIST) atualizou o amplamente utilizado Cybersecurity Framework (CSF), seu documento histórico de orientação para reduzir os riscos de cibersegurança. A nova edição 2.0, publicada oficialmente em 26 de fevereiro de 2024. foi projetada para todos os públicos, setores industriais e tipos de organização, desde as menores escolas e organizações sem fins lucrativos até as maiores agências e corporações — independentemente do seu grau de sofisticação em segurança cibernética.
Em resposta aos numerosos comentários recebidos sobre a versão preliminar, o NIST expandiu a orientação principal do CSF e desenvolveu recursos relacionados para ajudar os utilizadores a tirar o máximo partido do framework. Estes recursos destinam-se a proporcionar a diferentes públicos percursos personalizados para o CSF e tornar o framework mais fácil de pôr em prática.
“O Cybersecurity Framework 2.0 da NIST representa uma evolução fundamental na proteção cibernética, indo muito além de um simples documento. É uma bússola indispensável, adaptável às necessidades em constante mutação das organizações, independentemente do seu porte ou complexidade em segurança digital”, disse Markswell Coelho, coordenador da IBSEC - Instituto Brasileiro de Cibersegurança.
O CSF 2.0, que apoia a implementação da Estratégia Nacional de Cibersegurança dos EUA, abrange um grande âmbito que vai além da proteção de infraestruturas críticas, como hospitais e centrais elétricas, para todas as organizações de qualquer setor. Tem também um novo foco na governança, que abrange a forma como as organizações tomam e executam decisões informadas sobre a estratégia de cibersegurança. O componente de governança do CSF enfatiza que a segurança cibernética é uma importante fonte de risco empresarial que os líderes seniores devem considerar juntamente com outros, como finanças e reputação.
“Desenvolvida trabalhando em estreita colaboração com as partes interessadas e refletindo os mais recentes desafios e práticas de gestão de cibersegurança, esta atualização visa tornar o framework ainda mais relevante para uma faixa mais ampla de usuários nos Estados Unidos e no exterior”, de acordo com Kevin Stine, chefe da Divisão de Segurança Cibernética Aplicada do NIST.
Seguindo uma Ordem Executiva presidencial, o NIST lançou pela primeira vez o CSF em 2014 para ajudar as organizações a compreender, reduzir e comunicar sobre o risco de cibersegurança. O núcleo da estrutura está agora organizado em torno de seis funções principais: Identificar, Proteger, Detectar, Responder e Recuperar, juntamente com a função Governar recentemente adicionada ao CSF 2.0. Quando consideradas em conjunto, estas funções proporcionam uma visão abrangente do ciclo de vida para a gestão do risco de segurança cibernética.
O framework atualizado prevê que as organizações chegarão ao CSF com diferentes necessidades e graus de experiência na implementação de ferramentas de cibersegurança. Os novos adotantes podem aprender com o sucesso de outros usuários e selecionar seu tópico de interesse a partir de um novo conjunto de exemplos de implementação e guias de início rápido projetados para tipos específicos de usuários, como pequenas empresas, gerentes de risco corporativo e organizações que buscam garantir seu fornecimento correntes.
Uma nova ferramenta de referência CSF 2.0 simplifica agora a forma como as organizações podem implementar o CSF, permitindo aos utilizadores navegar, pesquisar e exportar dados e detalhes da orientação principal do CSF em formatos consumíveis por humanos e legíveis por máquina.
Além disso, o CSF 2.0 oferece um catálogo pesquisável de referências informativas que mostra como as suas ações atuais são mapeadas no CSF. Este catálogo permite que uma organização cruze as orientações do CSF com mais de 50 outros documentos de cibersegurança, incluindo outros do NIST, como o SP 800-53 Rev. 5, um catálogo de ferramentas (chamadas controles) para alcançar resultados específicos de segurança cibernética.
As organizações também podem consultar a Cybersecurity and Privacy Reference Tool (CPRT), que contém um conjunto inter-relacionado, navegável e baixável de documentos de orientação do NIST que contextualiza esses recursos do NIST, incluindo o CSF, com outros recursos populares. E o CPRT oferece formas de comunicar estas ideias tanto aos especialistas técnicos como ao C-suite, para que todos os níveis de uma organização possam permanecer coordenados.
O NIST planeja continuar aprimorando seus recursos e tornando o CSF um recurso ainda mais útil para um conjunto mais amplo de usuários, disse Stine, e o feedback da comunidade será crucial.
“À medida que os usuários personalizam o CSF, esperamos que compartilhem seus exemplos e sucessos, porque isso nos permitirá ampliar suas experiências e ajudar outras pessoas”, disse ele. “Isso ajudará organizações, setores e até nações inteiras a compreender e gerir melhor os seus riscos de cibersegurança.”
O CSF é amplamente utilizado internacionalmente; As versões 1.1 e 1.0 foram traduzidas para 13 idiomas, e o NIST espera que o CSF 2.0 também seja traduzido por voluntários em todo o mundo. Essas traduções serão adicionadas ao portfólio crescente de recursos CSF do NIST. Nos últimos 11 anos, o trabalho do NIST com a International Organization for Standardization (ISO), em conjunto com a International Electrotechnical Commission (IEC), ajudou a alinhar vários documentos de cibersegurança. Os recursos ISO/IEC agora permitem que as organizações construam estruturas de segurança cibernética e organizem controles usando as funções do CSF. O NIST planeja continuar trabalhando com a ISO/IEC para continuar esse alinhamento internacional.
Mais informações: IBSEC