BLOG

Decompondo os novos elementos do próximo rascunho do NIST CSF 2.0

Miniatura de Chad Davis
Chade Davis
Publicado em 10 de agosto de 2023

Em um cenário digital cada vez mais interconectado, a importância de medidas robustas de segurança cibernética não pode ser exagerada. Reconhecendo isso, o NIST Cybersecurity Framework (CSF) surgiu em 2014, servindo como uma ferramenta essencial para reduzir os riscos de segurança cibernética em diversos setores. Várias organizações comunicaram ao NIST que o CSF 1.1 é um poderoso instrumento para lidar com riscos de segurança cibernética. No entanto, há um consenso unânime de que a evolução da Estrutura é fundamental para enfrentar os desafios iminentes da segurança cibernética e facilitar a adoção organizacional perfeita. Em colaboração estreita com a comunidade, o NIST está elaborando diligentemente o CSF 2.0, uma visão que integra a eficácia futurística com a essência central dos objetivos e metas originais da Estrutura.

O que exatamente o NIST Cybersecurity Framework 2.0 é e o que não é

Em sua essência, o NIST Cybersecurity Framework 2.0 serve como uma ferramenta inestimável para organizações que buscam não apenas compreender seu cenário de segurança cibernética, mas também avaliar, priorizar e articular efetivamente seus esforços de segurança cibernética. Ao contrário de um manual rígido de diretrizes, o Quadro se abstém de ditar metodologias específicas para atingir esses resultados. Em vez disso, ele atua como um nexo estratégico, conectando organizações a uma variedade de recursos que fornecem orientação complementar sobre práticas e controles recomendados.

Aprofundando-se nos componentes do rascunho do Cybersecurity Framework 2.0, este blog desvenda algumas das mudanças propostas para a versão 1.1, esclarecendo sua abordagem multifacetada para reforçar as defesas digitais.

O que (especificamente) está mudando

A seguir estão cinco das mudanças mais notáveis do NIST CSF 1.1 para 2.0:

  1. Evolução do Título e Escopo do Cybersecurity Framework – O renomado Cybersecurity Framework passou por melhorias significativas, refletindo sua ampla utilidade. A mudança de título de 'Estrutura para Melhorar a Segurança Cibernética de Infraestrutura Crítica' para 'Estrutura de Segurança Cibernética' simplifica o reconhecimento. O escopo agora se estende a todas as organizações, divergindo de seu foco inicial em infraestrutura crítica. Essa evolução reconhece a relevância global do Framework, mudando a ênfase da infraestrutura crítica dos EUA para abranger organizações em todo o mundo. Essas alterações destacam a adaptabilidade do Framework e sua capacidade de atender a diversas necessidades de segurança cibernética, reafirmando sua posição como uma ferramenta dinâmica para organizações de diversos tamanhos e contextos.

  2. Interconexão do CSF com novos recursos – A evolução do CSF se estende além de seus limites, estabelecendo conexões com outras estruturas e recursos essenciais. A revisão completa do NIST motivou revisões no NIST CSF, introduzindo referências a ferramentas contemporâneas como o NIST Privacy Framework, o NICE Workforce Framework for Cybersecurity, o Secure Software Development Framework e muito mais.

  3. Elevando o suporte à implementação do CSF – A evolução do CSF abrange maior suporte para implementação eficaz, como a introdução de exemplos de implementação, oferecendo processos ilustrativos orientados à ação para atingir subcategorias do CSF. Esses aumentos estratégicos impulsionam o CSF além de uma construção teórica, fornecendo ferramentas práticas que amplificam seu impacto no mundo real. Com orientação de implementação aprimorada, o CSF consolida ainda mais seu papel como um recurso indispensável para navegar no complexo terreno da segurança cibernética.

  4. Fortalecimento da Governança da Segurança Cibernética: Foco aprimorado na estrutura – A evolução do CSF ressalta o papel crítico da governança da segurança cibernética. Ao apresentar a nova função "Governar", o CSF adota uma abordagem holística. Ele abrange uma série de facetas, incluindo contexto organizacional, estratégia de gerenciamento de risco, risco da cadeia de suprimentos de segurança cibernética, funções e responsabilidades, políticas, processos e supervisão.

    Orientando organizações em direção à integração abrangente da segurança cibernética, a Estrutura agora fornece insights sobre o alinhamento com a Estrutura de Privacidade do NIST e a interligação com o gerenciamento de riscos corporativos, conforme detalhado no NIST IR 8286. Notavelmente, a ênfase em pessoas, processos e tecnologia foi ampliada ao longo da implementação do Framework.

    Esse foco maior na governança reforça a importância do CSF no âmbito da segurança cibernética, afirmando seu status como uma ferramenta versátil e abrangente para organizações que se esforçam para fortalecer suas defesas digitais.

  5. Fortalecendo a resiliência da cadeia de suprimentos de segurança cibernética – A evolução do CSF destaca a importância primordial do gerenciamento de riscos da cadeia de suprimentos de segurança cibernética. Com a introdução de uma categoria dedicada em "Governar", o Framework assume uma posição firme.

    Esta atualização decorre de um compromisso de alinhamento com as orientações mais recentes do NIST e as melhores práticas atuais. Notavelmente, o CSF abrange o âmbito da gestão de riscos da cadeia de suprimentos de segurança cibernética e do desenvolvimento seguro de software, refletindo uma abordagem proativa para proteger ecossistemas digitais.

    Essa ênfase voltada para o futuro reforça a adaptabilidade do Framework ao cenário de ameaças em evolução, tornando-o um instrumento inestimável para organizações que desejam reforçar sua postura de segurança cibernética e resiliência dentro da dinâmica complexa da cadeia de suprimentos.

Este último rascunho do CSF representa um marco significativo, pois o NIST não emitirá outra versão para comentários. Sua contribuição moldará diretamente o CSF 2.0 final, com lançamento previsto para o início de 2024. Compartilhe seu feedback em cyberframework@nist.gov até sexta-feira, 4 de novembro de 2023.