O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) está se preparando para a maior reforma de sua Estrutura de Segurança Cibernética (CSF) em cinco anos. Essa estrutura, lançada inicialmente em 2014 e atualizada para a versão 1.1 em 2018, é um conjunto de diretrizes e melhores práticas utilizadas por organizações e agências governamentais em todo o mundo para gerenciar riscos de segurança cibernética.
Após uma longa consulta, o NIST publicou um Documento conceitual (pdf) para o CSF 2.0, que agora está aberto para revisão. O feedback recebido será usado para desenvolver a versão final da estrutura revisada, que deverá estar disponível até o verão de 2023. Com o aumento dos riscos de segurança cibernética, essa estrutura atualizada fornecerá melhor orientação às organizações à medida que elas navegam pelo cenário de segurança cibernética em constante evolução.
Alterações propostas
- Ampliar o alcance da estrutura: Uma das mudanças notáveis na versão mais recente do NIST Cybersecurity Framework (CSF) é a ampliação do público-alvo. Anteriormente, o framework era voltado principalmente para organizações de infraestrutura crítica nacional, como as dos setores de serviços públicos, telecomunicações, transporte e bancário. No entanto, desde a publicação do CSF 1.1, o Congresso dos EUA orientou o NIST a considerar as necessidades de pequenas empresas e instituições de ensino superior. Essa mudança visa ampliar a aplicabilidade do framework a todas as organizações, tornando-o mais acessível e fácil de usar.
- Analise os riscos adicionais: A nova estrutura priorizará a gestão de riscos na cadeia de suprimentos, abrangendo riscos de terceiros, como computação em nuvem, software, equipamentos de rede e cadeias de suprimentos não tecnológicas. Embora haja consenso geral sobre a importância crítica dessa questão, o feedback tem sido variado, o que exige uma análise mais aprofundada sobre a melhor abordagem. Diante das exigências regulatórias já existentes no setor, profissionais da área financeira defendem o aumento da responsabilidade de terceiros dentro dessa estrutura.
- Orientações para avaliação: Apesar de terem adotado a estrutura há mais de uma década, muitas organizações ainda se perguntam como podem determinar se sua postura de cibersegurança está melhorando. Em resposta, o CSF 2.0 oferecerá orientações adicionais sobre como avaliar os níveis de maturidade em segurança e a eficácia dos esforços de redução de riscos.
- Neutralidade do fornecedor: A proposta do NIST de manter a natureza tecnologicamente neutra e independente de fornecedores da estrutura ainda está em discussão, com alguns defendendo orientações específicas sobre tópicos, tecnologias e aplicações. As organizações buscam mais orientações ao usar a nuvem e outras tecnologias operacionais, o que representa um desafio para manter a neutralidade tecnológica sem excluir nenhum sistema em particular.
Por que o NIST é importante
O NIST, ou Instituto Nacional de Padrões e Tecnologia, é uma organização vital que desempenha um papel crucial na definição das práticas de tecnologia e cibersegurança em diversos setores. Sua estrutura de cibersegurança, ou CSF, fornece um conjunto abrangente de diretrizes que as organizações podem usar para se proteger contra ameaças cibernéticas. Os padrões e diretrizes do NIST são amplamente aceitos em diversos setores e são continuamente atualizados para abordar ameaças emergentes e avanços tecnológicos.
A conformidade com as diretrizes do NIST é frequentemente um requisito para organizações em setores regulamentados, como o financeiro e o da saúde. Ao seguir as recomendações do NIST, as organizações podem se proteger melhor contra ataques cibernéticos, reduzir o risco de violações de dados e garantir a conformidade com as regulamentações relevantes. O impacto do NIST no cenário tecnológico e de segurança cibernética é significativo, e seus esforços contínuos para promover a segurança e a inovação são essenciais para proteger tanto empresas quanto consumidores.
Obtenha a conformidade com o NIST usando o BigID.
Para contratados do Departamento de Defesa que buscam alcançar Conformidade com o NIST e aderir ao CMMC — a BigID oferece tudo o que você precisa. Os requisitos de certificação podem ser complexos, mas as organizações podem começar avaliando seus programas de segurança, incluindo aspectos como: controles de acesso, gestão de riscos e planos de resposta a incidentes.
A BigID oferece às organizações Visibilidade e controle completos dos dados para atender às exigências de conformidade. envolvendo CMMC, NIST, e muito mais. A abordagem da BigID para segurança, centrada em dados, combina descoberta profunda de dados, classificação de dados de última geração e gerenciamento de riscos. Saiba onde esses dados estão localizados, qual o seu nível de sensibilidade e quem está acessando-os para entender a superexposição e Conheça a política de confiança zero.
Essas informações permitem que as equipes de segurança executem proativamente medidas práticas em seus dados, tais como: eliminação, Criptografia, anonimização e muito mais. Imponha políticas rígidas em torno de dados sensíveis e acione remediação automatizada Para mitigar a exposição e o uso indesejados – ao longo de todo o ciclo de vida dos dados.
Atualize seus programas de segurança e alcance a conformidade com o NIST 2.0 — Agende uma demonstração individual hoje mesmo.
Autor
