.
Após dez anos operando sob o modelo original e dois anos trabalhando para revisá-lo, o Instituto Nacional de Padrões e Tecnologia (NIST) lançou a versão 2.0 de sua Estrutura de Segurança Cibernética (CSF).
Ao contrário do original, que foi concebido tendo em mente sectores de infra-estruturas críticas, o âmbito do CSF 2.0 foi alargado para dicas de segurança adequadas para organizações de qualquer sector e de qualquer tamanho “independentemente do seu grau de sofisticação de segurança cibernética”, disse o NIST.
Para aqueles que não estão familiarizados com o CSF, é um conjunto de melhores práticas e recomendações do NIST para ajudar as organizações a melhorar a sua postura de segurança cibernética e aumentar a consciência organizacional sobre como operar com segurança.
Além de alargar o seu âmbito, o novo QCA [PDF] vai além de ser um documento de recomendação de melhores práticas, disse a diretora do NIST, Laurie Locascio.
O CSF 2.0 “trata-se de um conjunto de recursos que podem ser personalizados e usados individualmente ou em combinação ao longo do tempo, à medida que as necessidades de segurança cibernética de uma organização mudam e suas capacidades evoluem”, disse Locascio. De acordo com o NIST, o CSF 2.0 foi escrito tendo em mente a Estratégia Nacional de Segurança Cibernética do Presidente Biden, adotada no início de 2023.
Os novos recursos do CSF 2.0 incluem guias de início rápido para diferentes tipos de organizações e casos de uso (por exemplo, empresas, PMEs, gestão de riscos da cadeia de fornecimento cibernética, etc.), exemplos de implementação, um catálogo de mapeamento onde as empresas podem inserir dados para ver quão bem estão já estamos em conformidade com o CSF, ferramentas de referência e muito mais.
Kevin Stine, chefe da divisão de segurança cibernética aplicada do NIST, disse que as novas ferramentas foram introduzidas após vários anos de trabalho com as partes interessadas, além de incorporarem lições aprendidas em uma década de desafios de segurança.
“Esta atualização visa tornar a estrutura ainda mais relevante para um grupo mais amplo de usuários nos Estados Unidos e no exterior”, disse Stine. O CSF é amplamente utilizado fora dos EUA e foi traduzido para 13 idiomas através dos esforços de voluntários. O NIST disse que espera que o CSF 2.0 seja traduzido de forma semelhante para uso em países que não falam inglês.
A maior mudança é uma nova função central de gerenciamento de risco
Aqueles que leram ou usaram o original (e a versão 1.1) do CSF do NIST provavelmente estão familiarizados com suas cinco funções principais de identificar, proteger, detectar, responder e recuperar, nomeadas para resumos de alto nível sobre o que cada função deve contribuir para. uma boa postura de segurança.
O que está faltando nesse grupo de cinco é a nova sexta função – governar – que foi adicionada no CSF 2.0.
De acordo com o NIST, uma organização que implementa adequadamente a função de governança é aquela cuja “estratégia, expectativas e políticas de gestão de riscos de segurança cibernética são estabelecidas, comunicadas e monitoradas”.
Por outras palavras, a governação consiste em elevar as outras cinco funções para além da equipa de segurança e para a estrutura mais ampla de uma organização.
“A função governar fornece resultados para informar o que uma organização pode fazer para alcançar e priorizar os resultados das outras cinco funções no contexto da sua missão e das expectativas das partes interessadas”, afirma o documento CSF 2.0 do NIST. “As atividades de governança são essenciais para incorporar a segurança cibernética na estratégia mais ampla de gestão de riscos empresariais de uma organização.”
Isso não significa que a governação venha antes do resto das funções – o NIST deixa claro que todas as seis “devem ser abordadas simultaneamente”.
“As ações que apoiam governar, identificar, proteger e detectar devem acontecer continuamente, e as ações que apoiam a resposta e a recuperação devem estar sempre prontas e acontecer quando ocorrerem incidentes de segurança cibernética”, disse o NIST.
O NIST disse que vê o CSF 2.0 como um documento vivo e que planeia continuar a aumentar os recursos disponíveis para tornar o quadro mais útil. Dito isto, o NIST não será capaz de fazer isso sem o feedback da comunidade de segurança e está convidando as pessoas a contatá-los em nome de uma melhor segurança cibernética.
“À medida que os usuários personalizam o CSF, esperamos que compartilhem seus exemplos e sucessos, porque isso nos permitirá ampliar suas experiências e ajudar outras pessoas”, disse Stine. “Isso ajudará organizações, setores e até mesmo nações inteiras a compreender e gerenciar melhor seus riscos de segurança cibernética”. ®
.
