NIST lança a versão atualizada do Cybersecurity Framework 2.0

O Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA tem sido há muito tempo uma fonte útil de recursos para ajudar as equipas de cibersegurança a avaliar necessidades, planear investimentos e implementar as melhores práticas. Em 2013, publicou o NIST Cybersecurity Framework (CSF) como o principal repositório de orientações sobre o estabelecimento de práticas de cibersegurança eficazes.

Em 2022, publicámos um post de blog concebido para o ajudar a navegar e implementar as orientações oferecidas no CSF. E em 2023, outro post relatou o facto de que o NIST estava a trabalhar numa grande atualização do CSF.

Agora vem a notícia de que o processo de atualização está completo e CSF 2.0 foi oficialmente publicado. Então, vamos ver o que mudou e como essas alterações podem afetar os seus esforços para compreender, implementar e manter as melhores práticas de cibersegurança.

Três alterações chave

As atualizações mais significativas no CSF 2.0 dividem-se em três categorias:

1. Público-alvo
2. Alterações às funções principais
3. Atenção às preocupações com a privacidade e às tecnologias emergentes, como a inteligência artificial (IA)

Audiência

Quando foi lançado em 2013, o NIST CSF original foi especificamente e explicitamente concebido para ajudar as organizações que gerem sistemas de infraestruturas críticas nos EUA a reforçar a sua segurança contra ciberataques. A vulnerabilidade geral destes sistemas era vista (corretamente) como uma desvantagem estratégica importante, e o CSF foi criado para abordar e mitigar essa vulnerabilidade.

Claro que as orientações fornecidas no CSF foram valiosas e úteis para um público muito mais amplo também, mas pode ser um desafio identificar e implementar recomendações que possam ser relevantes para uma organização que não está envolvida na proteção de infraestruturas críticas.

O CSF 2.0 destina-se a um público muito mais amplo, e esta é a força motriz por trás de algumas das mudanças que observámos no documento:

• No geral, as recomendações são mais generalizadas para facilitar a sua implementação por organizações de qualquer tamanho ou em qualquer setor.
• A NIST disponibilizou uma rica variedade de recursos adicionais para ajudar as organizações a definir mais facilmente as suas próprias necessidades e criar planos relevantes. Estes incluem um conjunto de Guias de Início Rápido, modelos e Perfis Organizacionais e Comunitários pré-formatados, um conjunto bastante abrangente de FAQs, Referências Informativas e muito mais.
• O CSF 2.0 está organizado para alinhar-se com a Estratégia Nacional de Cibersegurança assinada em vigor em março de 2023 pelo Presidente Biden.

Funções principais

O CSF original identificou cinco funções principais:

• Identificar— Desenvolver uma compreensão organizacional para gerir o risco de cibersegurança para sistemas, pessoas, ativos, dados e capacidades.
• Proteger — Desenvolver e implementar salvaguardas apropriadas para garantir a entrega de serviços críticos.
• Detectar — Desenvolver e implementar atividades apropriadas para identificar a ocorrência de um incidente de cibersegurança.
• Responder—Desenvolver e implementar atividades apropriadas para agir em relação a um incidente de cibersegurança detetado.
• Recuperar — Desenvolver e implementar as atividades apropriadas para manter planos de resiliência e restaurar quaisquer capacidades ou serviços que foram comprometidos devido a um incidente de cibersegurança.

O CSF 2.0 introduz uma sexta função, "Governar". Esta função aborda questões organizacionais, definindo expectativas ao nível organizacional, estratégia de gestão de risco e políticas para simplificar processos-chave. As outras cinco funções também foram reestruturadas, com várias categorias movidas para a função Governar.

Embora o CSF original tenha referido a importância de garantir uma estrutura organizacional eficaz para permitir e encorajar a partilha de informações e a colaboração entre grupos que muitas vezes estão isolados uns dos outros — por exemplo, TI e Segurança — não forneceu muitas orientações específicas para alcançar isso. Considerando quão importantes estas questões podem ser na determinação do sucesso ou fracasso dos projetos de cibersegurança, a adição de Governar como uma função central é uma melhoria muito bem-vinda.

Privacidade e tecnologia emergente

O CSF original não abordou a IA pela simples razão de que ainda não havia emergido como um fator significativo na cibersegurança, tanto em termos de ameaças como de monitorização de segurança. E as preocupações de privacidade foram amplamente ignoradas nesse documento também.

Desde então, o NIST publicou dois novos documentos de enquadramento:

• Estrutura de Privacidade NIST
• NIST Estrutura de Gestão de Riscos de Inteligência Artificial (AI RMF)

O CSF 2.0 é projetado para ser utilizado em conjunto com estes outros frameworks, permitindo que as organizações adotem um processo unificado para melhorar a cibersegurança abrangente, reforçar as proteções de privacidade e gerir os riscos das tecnologias emergentes.

Bem-vindas melhorias

O tema abrangente do meu blogue de 2022 sobre o NIST CSF era que o documento era bastante intimidante e desafiador de navegar para a maioria das equipas de segurança, especialmente na categoria SMB, mas que ainda assim tinha um valor imenso se usado de forma sistemática para ajudar em projetos específicos.

Estou feliz em informar que o CSF 2.0 atualizado contribui significativamente para resolver essa dificuldade. A reestruturação das funções principais e a adição da função Govern, juntamente com a riqueza de documentos e recursos que o acompanham, significam que agora é muito mais fácil para equipas com pessoal e recursos limitados aproveitarem as suas recomendações e implementarem as melhores práticas, bem como estabelecer processos iterativos para alcançar a melhoria contínua ao longo do tempo.