O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) está se preparando para a maior reforma já realizada em seu Quadro de Segurança Cibernética (CSF) em cinco anos. Lançado pela primeira vez em 2014 e atualizado para a versão 1.1 em 2018, este quadro é um conjunto de diretrizes e melhores práticas utilizadas por organizações e agências governamentais em todo o mundo para gerenciar riscos de segurança cibernética.
Após uma longa consulta, o NIST publicou uma documento conceitual (pdf) para o CSF 2.0, que agora está aberto para revisão. Este feedback será usado para desenvolver a versão final da estrutura revisada, que deverá estar disponível no verão de 2023. Com o aumento dos riscos de segurança cibernética, esta estrutura atualizada fornecerá melhor orientação às organizações à medida que navegam no cenário de segurança cibernética em constante evolução.
Mudanças propostas
- Ampliar o alcance da estrutura: Uma das mudanças notáveis na versão mais recente do NIST Cybersecurity Framework (CSF) é o público-alvo expandido. Anteriormente, o framework era voltado principalmente para organizações nacionais de infraestrutura crítica, como as dos setores de serviços públicos, telecomunicações, transporte e bancos. No entanto, desde a publicação do CSF 1.1, o NIST foi orientado pelo Congresso dos EUA a considerar as necessidades de pequenas empresas e instituições de ensino superior. Essa mudança visa ampliar a aplicabilidade do framework a todas as organizações, tornando-o mais acessível e fácil de usar.
- Examine riscos adicionais: A nova estrutura priorizará a gestão de riscos da cadeia de suprimentos, abrangendo riscos de terceiros, como computação em nuvem, software, equipamentos de rede e cadeias de suprimentos não tecnológicas. Embora haja consenso geral de que essa questão é crítica, as opiniões têm sido mistas, o que leva a uma reflexão mais aprofundada sobre como abordá-la. Considerando os requisitos regulatórios já em vigor para o setor, os profissionais financeiros defendem o aumento da responsabilidade de terceiros dentro da estrutura.
- Orientação de avaliação: Apesar de adotar a estrutura há mais de uma década, muitas organizações ainda se perguntam como podem determinar se sua postura em segurança cibernética está melhorando. Em resposta, o CSF 2.0 oferecerá orientações adicionais sobre como avaliar os níveis de maturidade em segurança e a eficácia dos esforços de redução de riscos.
- Neutralidade do fornecedor: A proposta do NIST de manter a neutralidade tecnológica e de fornecedores da estrutura ainda está em discussão, com alguns defendendo orientações específicas sobre tópicos, tecnologias e aplicações. As organizações buscam mais orientações ao usar a nuvem e outras tecnologias operacionais, o que representa um desafio para permanecer tecnologicamente neutro sem excluir nenhum sistema específico.
Por que o NIST é importante
O NIST, ou Instituto Nacional de Padrões e Tecnologia, é uma organização vital que desempenha um papel fundamental na definição de práticas de tecnologia e segurança cibernética em diversos setores. Sua estrutura de segurança cibernética, ou CSF, fornece um conjunto abrangente de diretrizes que as organizações podem usar para se proteger contra ameaças cibernéticas. Os padrões e diretrizes do NIST são amplamente aceitos em todos os setores e são continuamente atualizados para lidar com ameaças emergentes e avanços tecnológicos.
A conformidade com as diretrizes do NIST é frequentemente um requisito para organizações em setores regulamentados, como finanças e saúde. Ao seguir as recomendações do NIST, as organizações podem se proteger melhor contra ataques cibernéticos, reduzir o risco de violações de dados e garantir a conformidade com as regulamentações relevantes. O impacto do NIST no cenário de tecnologia e segurança cibernética é significativo, e seus esforços contínuos para promover segurança e inovação são essenciais para proteger empresas e consumidores.
Obtenha conformidade com o NIST com o BigID
Para contratantes do DoD que buscam alcançar Conformidade com o NIST e aderir ao CMMC — a BigID os cobre. Os requisitos de certificação podem ser avassaladores, mas as organizações podem começar avaliando seus programas de segurança, incluindo aspectos como controles de acesso, gerenciamento de riscos e planos de resposta a incidentes.
O BigID oferece às organizações visibilidade e controle completos dos dados para atender aos mandatos de conformidade envolvendo CMMC, NISTe muito mais. A abordagem de segurança centrada em dados da BigID combina descoberta profunda de dados, classificação de dados de última geração e gerenciamento de riscos. Saiba onde esses dados estão localizados, quão sensíveis são e quem os acessa para entender a superexposição e conheça a confiança zero.
Esses insights permitem que as equipes de segurança executem proativamente medidas acionáveis em seus dados, como eliminação, criptografia, anonimização e muito mais. Aplique políticas rígidas em relação a dados confidenciais e acione remediação automatizada para mitigar a exposição e o uso indesejados – durante todo o ciclo de vida dos dados.
Atualize seus programas de segurança e alcance a conformidade com o NIST 2.0 — agende uma demonstração individual hoje mesmo.
Autor
