Desembalagem do framework de cibersegurança do NIST 2.0
O framework de cibersegurança do NIST (CSF) ajuda as organizações a melhorar o gerenciamento de riscos usando uma linguagem comum que foca nas motivações de negócios para aprimorar a cibersegurança.
O NIST CSF 1.0 foi lançado em fevereiro de 2014 e a versão 1.1 em abril de 2018. Em fevereiro de 2024, o NIST lançou sua mais nova iteração CSF: 2.0. A jornada para o CSF 2.0 começou com uma solicitação de informações (RFI) em fevereiro de 2022. Nos dois anos seguintes, o NIST envolveu a comunidade de cibersegurança por meio de análises, workshops, comentários e revisões de rascunhos para refinar as normas existentes e criar um novo modelo que refletisse os desafios de segurança em evolução.
Embora o núcleo do CSF permaneça o mesmo, há várias adições notáveis à nova versão. Veja o que as empresas precisam saber sobre o novo framework, como ela afeta as operações e como as equipes de TI podem aplicar efetivamente o CSF versão 2.0 às operações diárias.
A primeira é a introdução da função "Govern", que sustenta todas as cinco funções do framework NIST original: Identificar, Proteger, Detectar, Responder e Recuperar. Conforme observado na documentação original do CSF 1.0, "essas funções não se destinam a formar um caminho serial ou levar a um estado final estático desejado. Em vez disso, as funções podem ser executadas simultaneamente e de forma contínua para formar uma cultura operacional que lide com o risco dinâmico de segurança."
Como resultado, as funções são frequentemente descritas como um círculo de cinco partes que cerca o framework CST central. Cada função leva à próxima, e nenhuma função é independente da outra.
O NIST CSF 2.0 mantém essas funções, mas adiciona o Govern como um anel interno completo localizado sob as cinco funções externas. O controle se concentra em garantir que as outras funções estejam alinhadas com as necessidades do negócio, sejam medidas regularmente pelas equipes de operações e gerenciadas pelos executivos de segurança.
Em outras palavras, o Govern busca trazer a liderança para a conversa sobre segurança. Embora isso já esteja acontecendo na maioria das empresas, o CSF 2.0 torna isso uma prioridade.
Boletim informativo do setor
As mais recentes notícias de tecnologia, corroboradas por insights de especialistas.
Mantenha-se atualizado sobre as tendências mais importantes (e intrigantes) do setor em IA, automação, dados e muito mais com o boletim informativo Think. Consulte a Declaração de privacidade da IBM.
Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.
As duas primeiras versões do CSF priorizaram a infraestrutura crítica. Enquanto outros setores e agências adotaram o framework, ele foi projetado principalmente para reduzir o impacto dos incidentes de cibersegurança no setor de infraestrutura crítica.
No entanto, a ampla adoção da framework deixou claro que práticas e processos se aplicavam a organizações públicas e privadas em todos os setores e indústrias. Como resultado, o NIST CSF 2.0 oferece melhores práticas expandidas amplamente aplicáveis a empresas de qualquer tamanho e tipo.
Por exemplo, o novo CSF recomenda que todas as empresas criem perfis organizacionais que descrevam as posturas de cibersegurança atuais e direcionadas. Isso permite que as empresas estabeleçam metas e definam a prática necessária para atingir essas metas. O novo framework também destaca o papel dos perfis da comunidade. Esses perfis são criados para lidar com os interesses e metas compartilhados de cibersegurança de várias organizações que ocupam o mesmo setor ou subsetor, usam tecnologias semelhantes ou enfrentam tipos de ameaças semelhantes.
Com seu foco em governança aprimorada e melhores práticas expandidas, o novo NIST CSF pode ajudar as empresas a aumentar a segurança e reduzir os riscos. Para implementar esse framework de forma efetiva, as organizações se beneficiam de uma abordagem em quatro frentes.
1. Use as recomendações e os recursos disponíveis
A expansão do escopo e da escala do CSF 2.0 pode dificultar a implementação efetiva de novas recomendações por empresas de qualquer tamanho. Nas empresas menores, um suporte de TI limitado pode afetar o desenvolvimento de novas práticas, ao passo que organizações maiores podem ter dificuldades com a complexidade dos ambientes de TI.
Para agilizar o processo, as empresas devem aproveitar ao máximo os recursos disponíveis, como:
2. Envolva os líderes
O próximo item da lista é envolver os líderes. Embora o CSF 2.0 tenha sido projetado com governança e supervisão em mente, muitos executivos não técnicos da diretoria executiva, diretores executivos podem ter conhecimento limitado do framework e seu impacto. Como resultado, é uma boa ideia para os líderes de TI (como CTOs, CIOs e diretores de segurança da informação) e suas equipes se reunirem com os membros da diretoria e discutirem o impacto do CSF 2.0. Essa também é uma oportunidade para garantir que as metas de negócios e as estratégias de segurança estejam alinhadas.
Além disso, essas reuniões oferecem uma oportunidade para definir métricas de segurança importantes, determinar como elas serão coletadas e criar um cronograma detalhado para coleta, relatório e ação. Ao tornar os líderes parte da conversa desde o início da implementação do CSF, as empresas preparam o cenário para a visibilidade sustentada.
3. Avalie parcerias externas
Como parte da nova função Govern, o CSF 2.0 inclui novas subseções sobre fornecedores e gestão de fornecedores. Por exemplo, o GV.SC-04 concentra-se em conhecer e priorizar fornecedores de acordo com sua importância para as operações, enquanto o GV.SC-06 fala do planejamento e da devida diligência necessários antes de iniciar relacionamentos com terceiros. Finalmente, a subseção GV.SC-10 pode ajudar as empresas a planejar o encerramento de um relacionamento com um fornecedor ou parceiro.
Dado o risco e o impacto crescentes do comprometimento de terceiros, essas avaliações são críticas. Se fornecedores ou fornecedores com acesso a dados críticos da empresa estiverem comprometidos devido a práticas inadequadas de cibersegurança, as organizações estarão em risco, independentemente de sua própria conformidade com o CSF 2.0.
4. Implemente ferramentas de gerenciamento e monitoramento
Para compatibilidade com as cinco funções existentes e fornecer os dados necessários para informar os novos esforços de governança, as empresas precisam de ferramentas de monitoramento capazes de detectar possíveis ameaças, acompanhar indicadores de comprometimento (IOC) e tomar medidas para reduzir o risco total.
Por exemplo, ferramentas de inteligência de ameaças podem ajudar as organizações a identificar padrões e alvos de ataque comuns, fornecendo, assim, às equipes os dados necessários para criar e implementar contramedidas eficazes. Esses dados também ajudam a vincular os gastos com segurança a resultados comerciais mensuráveis.
Embora o CSF 2.0 seja a versão mais recente do framework de cibersegurança do NIST, ele não é o último. Conforme observado pelo NIST, o framework é projetado como um documento vivo que evolui para atender às necessidades emergentes de cibersegurança e ajudar as empresas a navegar nos ambientes de ameaças em mudança.
Na prática, isso significa migrar das melhores práticas para práticas comuns. Por exemplo, onde as versões 1.0 e 1.1 forneciam as melhores práticas para infraestrutura crítica, a versão 2.0 inclui como práticas comuns para todas as organizações e define uma nova melhor prática: governança. Com o tempo, essa prática se tornará comum, preparando o terreno para novos desenvolvimentos que ajudam as organizações a melhorar a descoberta de ameaças, melhorar a resposta a incidentes e reduzir o risco total.