NIST Cybersecurity Framework 2.0: 4 etapas para começar

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) divulgou o último rascunho de sua conceituada Estrutura de Segurança Cibernética (CSF) esta semana, deixando as empresas refletindo sobre como algumas mudanças significativas no documento afetam seus programas de segurança cibernética.

Entre a nova função “Governar” para incorporar maior supervisão executiva e do conselho da segurança cibernética e a expansão das melhores práticas além daquelas para indústrias críticas, as equipes de segurança cibernética terão um trabalho difícil para elas, diz Richard Caralli, consultor sênior de segurança cibernética da Axio, uma empresa de gerenciamento de ameaças de TI e tecnologia operacional (TO).

“Em muitos casos, isto significará que as organizações terão de analisar atentamente as avaliações existentes, as lacunas identificadas e as atividades de remediação para determinar o impacto das mudanças no quadro”, diz ele, acrescentando que “surgirão novas lacunas no programa que anteriormente poderiam não estiveram presentes, especialmente no que diz respeito à governança da segurança cibernética e à gestão de riscos da cadeia de abastecimento.”

O CSF original, atualizado pela última vez há 10 anos, tinha como objetivo fornecer orientações sobre segurança cibernética para indústrias críticas para a segurança nacional e econômica. O última versão expande enormemente essa visão para criar uma estrutura para qualquer organização que pretenda melhorar sua maturidade e postura em segurança cibernética. Além disso, parceiros e fornecedores terceirizados são agora um fator significativo a ser considerado no CSF ​​2.0.

As organizações precisam olhar para a segurança cibernética de forma mais sistemática para cumprir os regulamentos e implementar as melhores práticas do documento, disse Katie Teitler-Santullo, estrategista sênior de segurança cibernética da Axonius, em um comunicado.

“Tornar esta orientação acionável precisará ser um esforço autopropulsado das empresas”, disse ela. “Orientação é apenas orientação, até se tornar lei. As organizações com melhor desempenho assumirão a responsabilidade de avançar em direção a uma abordagem mais centrada nos negócios ao risco cibernético.”

Aqui estão quatro dicas para operacionalização da versão mais recente do NIST Cybersecurity Framework.

1. Use todos os recursos do NIST

O NIST CSF não é apenas um documento, mas uma coleção de recursos que as empresas podem utilizar para aplicar a estrutura ao seu ambiente e requisitos específicos. Os perfis organizacionais e comunitários, por exemplo, fornecem a base para as empresas avaliarem — ou reavaliarem — os seus requisitos, ativos e controlos de segurança cibernética. Para facilitar o início do processo, o NIST também publicou guias QuickStart para segmentos específicos da indústria, como pequenas empresas, e para funções específicas, como gerenciamento de riscos da cadeia de suprimentos de segurança cibernética (C-SCRM). 

Os recursos do NIST podem ajudar as equipes a compreender as mudanças, diz Nick Puetz, diretor administrativo da Protiviti, uma empresa de consultoria de TI.

“Essas podem ser ferramentas altamente valiosas que podem ajudar empresas de todos os tamanhos, mas são especialmente úteis para organizações menores”, diz ele, acrescentando que as equipes devem “garantir que sua equipe de liderança sênior – e até mesmo seu conselho de administração – entenda como isso beneficiará o programa [mas] poderia criar algumas inconsistências de pontuação de maturidade [ou] benchmarking no curto prazo.”

2. Discuta o impacto da função “governar” com a liderança

O NIST CSF 2.0 adiciona uma função central totalmente nova: Governar. A nova função é um reconhecimento de que a abordagem organizacional global à segurança cibernética precisa de corresponder à estratégia do negócio, medida pelas operações e gerida pelos executivos de segurança, incluindo o conselho de administração.

As equipes de segurança devem buscar a descoberta de ativos e o gerenciamento de identidades para fornecer visibilidade dos componentes críticos dos negócios de uma empresa e de como os trabalhadores e as cargas de trabalho interagem com esses ativos. Por causa disso, a função Governar depende fortemente de outros aspectos do CSF ​​– em particular, a função “Identificar”. E vários componentes, como “Ambiente de Negócios” e “Estratégia de Gestão de Riscos”, serão transferidos da Identidade para o Governo, diz Caralli da Axio.

“Esta nova função suporta requisitos regulatórios em evolução, como as regras da SEC [divulgação de violação de dados], que entrou em vigor em dezembro de 2023, é provavelmente um aceno para o potencial de ações regulatórias adicionais que virão”, diz ele. “E destaca o papel fiduciário que a liderança desempenha no processo de gestão de riscos de segurança cibernética.”

3. Considere a segurança da sua cadeia de suprimentos

O risco da cadeia de abastecimento ganha mais destaque no CSF ​​2.0. As organizações normalmente podem aceitar o risco, evitá-lo, tentar mitigar o risco, compartilhar o risco ou transferir o problema para outra organização. Os fabricantes modernos, por exemplo, normalmente transferem o risco cibernético para seus compradores, o que significa que uma interrupção causada por um ataque cibernético a um fornecedor também pode afetar sua empresa, diz Aloke Chakravarty, sócio e copresidente das investigações, aplicação do governo, e grupo de prática de proteção de colarinho branco no escritório de advocacia Snell & Wilmer.

As equipas de segurança devem criar um sistema para avaliar a postura de segurança cibernética dos fornecedores, identificar fraquezas potencialmente exploráveis ​​e verificar se o risco do fornecedor não está a ser transferido para os seus compradores, diz Chakravarty. 

“Como a segurança dos fornecedores agora é expressamente destacada, muitos fornecedores podem se promover como tendo práticas conformes, mas as empresas farão bem em examinar e testar a pressão dessas representações”, diz ele. “Buscar relatórios e políticas de auditoria adicionais em torno dessas representações de segurança cibernética pode se tornar parte deste mercado em evolução.”

4. Confirme o suporte do seu fornecedor CSF 2.0

Os serviços de consultoria e os produtos de gestão da postura de cibersegurança, entre outros, provavelmente precisarão ser reavaliados e atualizados para apoiar o CSF ​​mais recente. As ferramentas tradicionais de governação, risco e conformidade (GRC), por exemplo, devem ser reexaminadas à luz da crescente ênfase colocada pelo NIST na função Governar, diz Caralli da Axio.

Além disso, o CSF ​​2.0 coloca pressão adicional sobre os produtos e serviços de gestão da cadeia de abastecimento para melhor identificar e controlar os riscos de terceiros, diz Caralli.

Ele acrescenta: “É provável que as ferramentas e métodos existentes vejam oportunidades nas atualizações da estrutura para melhorar suas ofertas de produtos e serviços para melhor se alinharem ao conjunto de práticas expandidas”.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started