O que você encontrará neste artigo?
- O NIST lançou uma versão preliminar do Cybersecurity Framework (CSF) 2.0, que inclui uma nova função “governança”, para enfatizar que a cibersegurança é uma das principais fontes de risco empresarial e uma consideração para a liderança sênior.
- A atualização reflete mudanças no cenário de cibersegurança e torna mais fácil colocar o CSF em prática.
- A atualização inclui mudanças importantes, como escopo expandido, orientação aprimorada sobre a implementação do CSF e exemplos para as subcategorias de cada função, a fim de ajudar as empresas, especialmente as empresas menores, a usar o framework de forma eficaz.
- O NIST está aceitando comentários públicos sobre o framework preliminar até 4 de novembro de 2023.
- Os desenvolvedores planejam publicar a versão final do CSF 2.0 no início de 2024.
O link para o draft você encontra aqui.
A importância do CSF
- O Cybersecurity Framework (CSF) fornece orientação de alto nível para gerenciar riscos de cibersegurança em diversos setores e auxiliar a comunicação entre colaboradores técnicos e não técnicos.
- O CSF é uma ferramenta útil para todas as organizações, independentemente do tipo ou tamanho.
- O CSF foi baixado mais de dois milhões de vezes por usuários em mais de 185 países e foi traduzido para pelo menos nove idiomas.
Após considerar mais de um ano de feedback da comunidade, o National Institute of Standards and Technology (NIST) lançou uma versão preliminar do Cybersecurity Framework (CSF) 2.0, uma nova versão de uma ferramenta que foi lançada pela primeira vez em 2014 para ajudar as organizações a entender, reduzir e comunicar sobre o risco de cibersegurança. A atualização preliminar, que o NIST lançou para comentários públicos, reflete mudanças no cenário de cibersegurança e torna mais fácil colocar o CSF em prática – para todas as organizações.
“Com esta atualização, estamos tentando refletir o uso atual do Cybersecurity Framework e antecipar o uso futuro também”, disse Cherilyn Pascoe, do NIST, líder de desenvolvimento do framework. “O CSF foi desenvolvido para infraestrutura crítica como as indústrias bancárias e de energia, mas tem se mostrado útil em todos os lugares, desde escolas e pequenas empresas até governos locais e estrangeiros. Queremos ter certeza de que é uma ferramenta útil para todos os setores, não apenas aqueles designados como críticos.”
O NIST está aceitando comentários públicos sobre o framework preliminar até 4 de novembro de 2023. O NIST não planeja lançar outra versão preliminar. Está planejado e será anunciado em breve um workshop durante o outono americano, e servirá como oportunidade para o público fornecer feedback e comentários sobre o projeto preliminar. O lançamento da versão final do CSF 2.0 está prevista para o início de 2024.
O CSF fornece orientação de alto nível, incluindo uma linguagem comum e metodologia sistemática para gerenciar riscos de cibersegurança em diversos setores, auxiliando a comunicação entre colaboradores técnicos e não técnicos. Ele inclui atividades que podem ser incorporadas em programas de cibersegurança e adaptadas para atender às necessidades específicas de uma organização. Desde sua primeira publicação, o CSF foi baixado mais de dois milhões de vezes por usuários em mais de 185 países e foi traduzido para pelo menos nove idiomas.
Embora as respostas à solicitação de informações de fevereiro de 2022 do NIST sobre o CSF tenham indicado que o framework continua sendo uma ferramenta eficaz para reduzir o risco de cibersegurança, muitos respondentes também sugeriram que uma atualização poderia ajudar os usuários a se ajustarem à inovação tecnológica e ao cenário de ameaças em rápida evolução.
“Muitos usuários disseram que devemos manter e construir sobre os principais atributos do CSF, incluindo sua natureza flexível e voluntária”, disse Pascoe. “Ao mesmo tempo, muitos deles solicitaram mais orientação sobre a implementação do CSF e garantir que ele possa abordar questões emergentes de cibersegurança, como riscos na cadeia de suprimentos e a ameaça generalizada de ransomware. Porque esses problemas afetam muitas organizações, incluindo pequenas empresas, percebemos que tínhamos que melhorar o nosso jogo.”
O rascunho do CSF 2.0 reflete uma série de mudanças importantes, incluindo:
- O escopo do framework foi ampliado – explicitamente – de proteger infraestrutura crítica, como hospitais e usinas de energia, para fornecer cibersegurança para todas as organizações independentemente do tipo ou tamanho. Essa diferença é refletida no título oficial do CSF, que mudou para “O Framework de Cibersegurança” ao invés de “Framework para Melhoria da Cibersegurança da Infraestrutura Crítica”.
- Até agora, o CSF descreveu os principais pilares de um programa de cibersegurança bem-sucedido e holístico usando cinco funções principais: identificar, proteger, detectar, responder e recuperar. Para esses, o NIST agora adicionou um sexto, a função “governança”, que cobre como uma organização pode tomar e executar suas próprias decisões internas para apoiar sua estratégia de cibersegurança. Ela enfatiza que a cibersegurança é uma das principais fontes de risco empresarial, classificando-se ao lado de riscos legais, financeiros e outros como considerações para a liderança sênior.
- O rascunho fornece orientação melhorada e expandida sobre a implementação do CSF, especialmente para criar perfis, que adaptam o CSF para situações específicas. A comunidade de cibersegurança solicitou assistência no uso dele para setores econômicos e casos de uso específicos, onde os perfis podem ajudar. Importante, o rascunho agora inclui exemplos de implementação para as subcategorias de cada função para ajudar as organizações, especialmente as empresas menores, a usar o framework de forma eficaz.
Um grande objetivo do CSF 2.0 é explicar como as organizações podem aproveitar outros frameworks, padrões e diretrizes de tecnologia, do NIST e em outros lugares, para implementar o CSF. Reforçando esse último esforço, será lançada em breve uma ferramenta de referência do CSF 2.0, que o NIST planeja lançar em algumas semanas. Este recurso online permitirá aos usuários navegar, pesquisar e exportar os dados do CSF Core em formatos humanos e legíveis por máquina. No futuro, esta ferramenta fornecerá “Referências Informativas” para mostrar as relações entre o CSF e outros recursos para facilitar o uso do framework juntamente com outras orientações para gerenciar o risco de cibersegurança.
Pascoe disse que a equipe de desenvolvimento está incentivando qualquer pessoa com recomendações sobre o CSF atualizado a responder com comentários até o prazo de 4 de novembro.
“Esta é uma oportunidade para os usuários analisarem e comentarem sobre o rascunho do CSF 2.0”, disse ela. “Agora é a hora de se envolver se você ainda não estiver.”