NIST CSF 2.0 lançado para ajudar todas as organizações, não apenas aquelas em infraestrutura crítica
O Instituto Nacional de Padrões e Tecnologia (NIST) atualizou seu amplamente utilizado Quadro de Segurança Cibernética (CSF), um documento fundamental para mitigar os riscos de segurança cibernética.
A versão mais recente, 2.0, foi adaptada para atender a uma ampla gama de públicos, abrangendo vários setores industriais e tamanhos organizacionais – desde pequenas escolas e organizações sem fins lucrativos até grandes agências e corporações. Esta atualização é relevante para todos, independentemente do seu nível de especialização em segurança cibernética.
O NIST expandiu a orientação central do CSF e desenvolveu recursos relacionados para ajudar os usuários a tirar o máximo proveito da estrutura. Estes recursos destinam-se a proporcionar a diferentes públicos percursos personalizados para o QEC e tornar o quadro mais fácil de implementar.
“A atualização do NIST CSF 2.0 impacta significativamente a segurança das cadeias de fornecimento de software, abordando a integração de código aberto, componentes comerciais, software desenvolvido internamente e produtos comerciais prontos para uso (COTS). O NIST CSF 2.0 pode ser um instrumento fundamental para ajudar os CISOs a definir e criar melhor controles que irão melhorar os resultados de segurança, fornecendo orientação para abordar a proteção de ativos críticos, reduzir ou eliminar o risco de impacto material e evitar qualquer violação do dever por não cumprimento de regulamentos regulatórios e de conformidade”, disse Saša Zdjelar , Chief Trust Officer (CTrO) da ReversingLabs, à Help Net Security.
Zdjelar descreve uma visão geral concisa de suas implicações:
Gestão abrangente de riscos: O CSF 2.0 enfatiza a necessidade de estratégias robustas de gestão de riscos que atendam à natureza diversificada dos componentes de software. Essa abordagem é fundamental para identificar e mitigar ameaças, defeitos e muito mais em bibliotecas de código aberto, software comercial, desenvolvimentos internos e produtos COTS, garantindo uma cobertura abrangente de possíveis riscos de segurança.
Governança integrada: A atualização defende a integração da segurança da cadeia de fornecimento de software na estrutura mais ampla de risco organizacional. Isto garante que as considerações de segurança para todos os componentes de software se alinhem com a estratégia global de gestão de riscos da organização, facilitando uma abordagem unificada à governação.
Gestão adaptativa de riscos: Reconhecendo o cenário dinâmico das cadeias de fornecimento de software, o CSF 2.0 destaca a importância das práticas adaptativas de gestão de riscos. Essa flexibilidade permite que as organizações respondam rapidamente às ameaças e vulnerabilidades emergentes, independentemente de afetarem projetos de código aberto, ofertas comerciais ou desenvolvimentos proprietários.
Cultura consciente da segurança: A estrutura sublinha o papel da cultura organizacional na segurança cibernética. Ao promover um ambiente consciente da segurança, as organizações incentivam todas as partes interessadas a priorizar a segurança nas suas operações, o que é essencial para proteger as cadeias de fornecimento de software que utilizam uma combinação de componentes de código aberto, comerciais, internos e COTS.
Tornando a estrutura mais relevante
O CSF 2.0, que apoia a implementação da Estratégia Nacional de Cibersegurança , tem um âmbito alargado que vai além da proteção de infraestruturas críticas, como hospitais e centrais elétricas, para todas as organizações de qualquer setor. Tem também um novo foco na governação, que abrange a forma como as organizações tomam e executam decisões informadas sobre a estratégia de segurança cibernética.
A componente de governação do CSF sublinha que a segurança cibernética é uma importante fonte de risco empresarial que os líderes seniores devem considerar juntamente com outros, tais como finanças e reputação.
“Desenvolvida trabalhando em estreita colaboração com as partes interessadas e refletindo os mais recentes desafios e práticas de gestão de segurança cibernética, esta atualização visa tornar a estrutura ainda mais relevante para uma faixa mais ampla de usuários nos Estados Unidos e no exterior”, de acordo com Kevin Stine , chefe do NIST. Divisão de Segurança Cibernética Aplicada.
Núcleo NIST CSF 2.0
O núcleo da estrutura agora está organizado em torno de seis funções principais: Identificar, Proteger, Detectar, Responder e Recuperar, juntamente com a função Governar recentemente adicionada ao CSF 2.0. Quando consideradas em conjunto, estas funções proporcionam uma visão abrangente do ciclo de vida para a gestão do risco de segurança cibernética.
A estrutura atualizada prevê que as organizações chegarão ao CSF com diversas necessidades e graus de experiência na implementação de ferramentas de segurança cibernética. Os novos adotantes podem aprender com o sucesso de outros usuários e selecionar seu tópico de interesse a partir de um novo conjunto de exemplos de implementação e guias de início rápido projetados para tipos específicos de usuários, como pequenas empresas, gerentes de risco corporativo e organizações que buscam garantir seu fornecimento correntes.
Uma nova ferramenta de referência CSF 2.0 simplifica agora a maneira como as organizações podem implementar o CSF, permitindo aos usuários navegar, pesquisar e exportar dados e detalhes da orientação principal do CSF em formatos consumíveis por humanos e legíveis por máquina.
Catálogo pesquisável e ferramenta de referência de segurança cibernética e privacidade
Além disso, o CSF 2.0 oferece um catálogo pesquisável de referências informativas que mostra como as suas ações atuais são mapeadas no CSF. Este catálogo permite que uma organização cruze as orientações do CSF com mais de 50 outros documentos de segurança cibernética, incluindo outros do NIST, como o SP 800-53 Rev.5, um catálogo de ferramentas (chamadas controles) para alcançar resultados específicos de segurança cibernética.
As organizações também podem consultar a Ferramenta de Referência de Segurança Cibernética e Privacidade ( CPRT ), que contém um conjunto inter-relacionado, navegável e baixável de documentos de orientação do NIST que contextualiza esses recursos do NIST, incluindo o CSF, com outros recursos populares. E o CPRT oferece formas de comunicar estas ideias tanto aos especialistas técnicos como ao C-suite, para que todos os níveis de uma organização possam permanecer coordenados.