Atualizações para NIST CSF 2.0 Finalizado

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) concluiu com sucesso a primeira grande atualização da estrutura desde sua criação em 2014. A estrutura da agência tem sido um conjunto de diretrizes e melhores práticas de referência, utilizado por organizações e agências governamentais em todo o mundo para gerenciar riscos de segurança cibernética.

Agora, após mais de dois anos de discussões e comentários públicos destinados a tornar a estrutura mais eficaz para um cenário em constante evolução, o NIST lançou o nova edição 2.0 da sua estrutura de cibersegurança.

Com novas ameaças cibernéticas surgindo a cada dia, o NIST CSF 2.0 é um recurso essencial para todos os setores da indústria, como pequenas escolas, organizações sem fins lucrativos ou grandes agências e corporações — independentemente do nível de conhecimento em segurança cibernética.

O que mudou?

Em resposta à extensa opinião recebido durante o conceito propostoO NIST fez diversas alterações importantes para melhorar a experiência do usuário com a estrutura.

Algumas das mudanças mais notáveis incluem:

• Novo Escopo: A versão mais recente do NIST Cybersecurity Framework 2.0 (CSF) foi revisada para ampliar seu público-alvo. Anteriormente, o framework era voltado principalmente para organizações de infraestrutura crítica nacional, como as dos setores de serviços públicos, telecomunicações, transporte e bancário. Agora, o CSF visa auxiliar todas as organizações na mitigação e minimização eficazes de riscos. O NIST aprimorou as principais diretrizes do CSF e introduziu uma série de ferramentas para apoiar organizações de todos os tipos no alcance de seus objetivos de cibersegurança, com maior foco em governança e gestão da cadeia de suprimentos.
• Uma função essencial adicional: A estrutura anterior era organizada em torno de cinco funções principais: Identificar, Proteger, Detectar, Responder e Recuperar. O CSF 2.0 agora inclui a função Governança, que estabelece e comunica a estratégia e a política de gestão de riscos de cibersegurança da organização. Ela também monitora e prioriza os resultados em consonância com a missão da organização e as expectativas das partes interessadas.
• Guias de Início Rápido: A estrutura revisada reconhece que as organizações abordarão o CSF com diferentes requisitos e níveis de experiência na implementação de cibersegurança. Usuários iniciantes podem se inspirar nas conquistas de outros e escolher sua área de foco a partir de uma nova compilação de estudos de caso. guias fáceis de usar Adaptado para categorias específicas de usuários — incluindo pequenas empresas, gestores de risco corporativo e entidades que visam fortalecer suas cadeias de suprimentos.
• Recursos e ferramentas ampliados: O novo Ferramenta de Referência CSF 2.0 O CSF 2.0 elimina as incertezas do processo de implementação para as organizações, fornecendo uma interface amigável para navegar, pesquisar e exportar dados e detalhes das diretrizes principais do CSF. Essa ferramenta apresenta informações em formatos facilmente compreensíveis tanto para humanos quanto para máquinas. Além disso, o CSF 2.0 inclui um catálogo pesquisável de referências informativas, permitindo que as organizações vejam como suas ações atuais se alinham com o CSF. Este catálogo permite a comparação das diretrizes do CSF com mais de 50 outros documentos de segurança cibernética, incluindo os do NIST, como... SP 800-53 Rev. 5, que oferece uma gama de ferramentas (denominadas controles) para atingir objetivos específicos de segurança cibernética.

Os 6 componentes do núcleo da estrutura

A estrutura principal agora está organizada em torno de seis funções-chave: Identificar, Proteger, Detectar, Responder e Recuperar — além da função Governança, recém-adicionada ao CSF 2.0. Juntas, essas funções proporcionam uma visão holística do ciclo de vida da gestão de riscos de cibersegurança.

1. Governar: Estabelece e comunica a estratégia e a política de gestão de riscos de cibersegurança da organização. Monitora e prioriza os resultados em consonância com a missão da organização e as expectativas das partes interessadas. Fundamental para a integração da cibersegurança na estratégia mais ampla de gestão de riscos corporativos (ERM). Aborda a compreensão do contexto organizacional, o estabelecimento da estratégia de cibersegurança, a gestão de riscos da cadeia de suprimentos, as funções, as responsabilidades, as autoridades, as políticas e a supervisão.
2. Identificar: Concentra-se na compreensão dos riscos de cibersegurança atuais dentro da organização. Identifica ativos, fornecedores e riscos de cibersegurança relacionados para priorizar os esforços. Inclui a identificação de oportunidades de melhoria para políticas, planos, processos, procedimentos e práticas que dão suporte à gestão de riscos de cibersegurança.
3. Proteger: Utiliza medidas de segurança para gerenciar riscos de cibersegurança de forma eficaz. Protege ativos para prevenir ou mitigar eventos adversos de cibersegurança. Abrange gerenciamento de identidade, controle de acesso, treinamento de conscientização, segurança de dados e segurança de plataforma.
4. Detectar: Tem como objetivo encontrar e analisar prontamente potenciais ataques e comprometimentos de segurança cibernética. Auxilia na detecção e análise oportunas de anomalias e indicadores de comprometimento. Possibilita a resposta a incidentes e atividades de recuperação bem-sucedidas.
5. Responder: Envolve a tomada de medidas em resposta a incidentes de cibersegurança detectados. Inclui gestão de incidentes, análise, mitigação, elaboração de relatórios e comunicação.
6. Recuperar: Concentra-se na restauração de ativos e operações afetados por incidentes de segurança cibernética. Auxilia na restauração oportuna das operações normais para minimizar o impacto dos incidentes. Facilita a comunicação adequada durante os esforços de recuperação.

Por que o NIST é importante

NISTO Instituto Nacional de Padrões e Tecnologia (NIST) desempenha um papel fundamental na definição de protocolos de tecnologia e segurança cibernética em diversos setores. Por meio de sua estrutura de segurança cibernética (CSF), o NIST fornece um conjunto abrangente de diretrizes para que as organizações se protejam contra ameaças cibernéticas. Amplamente reconhecidos e continuamente atualizados, os padrões e diretrizes do NIST se adaptam aos riscos emergentes e aos avanços tecnológicos.

A conformidade com os protocolos do NIST é frequentemente obrigatória para entidades em áreas regulamentadas, como finanças e saúde. As organizações podem reforçar sua defesa contra ameaças cibernéticas, diminuir a probabilidade de violações de dados e garantir a conformidade com as regulamentações relevantes — tudo isso seguindo as recomendações do NIST. A influência do NIST no setor de tecnologia e segurança cibernética é inegável, e seus esforços constantes para promover segurança e inovação são essenciais para proteger tanto as empresas quanto seus consumidores.

Obtenha a conformidade com o NIST usando o BigID.

Para organizações que desejam se manter atualizadas com o NIST CSF 2.0, a BigID oferece a solução ideal. Nossa abordagem de segurança centrada em dados combina... Descoberta profunda de dados, classificação de dados de última geraçãoe gerenciamento de riscos. Saiba onde seus dados estão localizados, qual o seu nível de sensibilidade e quem está acessando-os para atender às diretrizes da estrutura de segurança cibernética do NIST.

Com o BigID você pode:

• Mapa para o NIST: Aprenda como se alinhar às estruturas de segurança cibernética (CSF) do NIST e como aprimorar seu gerenciamento de riscos de dados, sua postura de privacidade e seu programa de segurança em uma única estrutura unificada.
• Conheça seus dados: A capacidade de identificar seus dados é o primeiro passo crítico tanto na Estrutura de Segurança Cibernética do NIST quanto na Estrutura de Privacidade do NIST. Para reduzir riscos, as organizações precisam identificar todos os seus dados, em todos os lugares. A descoberta e classificação de dados da BigID ajuda as organizações a identificar automaticamente seus dados sensíveis, pessoais e regulamentados em todo o cenário de dados.
• Classificação de dados: O NIST recomenda o uso de três categorias — baixo impacto, impacto moderado e alto impacto — para classificar todos os dados, em qualquer lugar, a fim de atender aos requisitos de privacidade e proteção de dados. Classifique por categoria, tipo, sensibilidade, política e muito mais com os recursos avançados de classificação de dados do BigID.
• Reduzir o risco: Gerencie o acesso a dados comerciais sensíveis e críticos – as organizações precisam incorporar o controle de acesso para identificar quem tem (e quem deveria ter) acesso a dados sensíveis. BigID's Aplicativo Access Intelligence Ajuda as organizações a identificar e remediar problemas de acesso a dados de alto risco com insights baseados em aprendizado de máquina para identificar e priorizar o risco de acesso a arquivos.
• Resposta a incidentes: Quando incidentes acontecem, cada segundo conta. A análise de violação de dados com reconhecimento de identidade da BigID avalia com eficácia o alcance e a magnitude de uma violação de dados. Determine rapidamente quais usuários e dados pessoais foram comprometidos e responda de acordo com as diretrizes do NIST.

Atualize seus programas de segurança e alcance a conformidade com o NIST CSF 2.0 — Agende hoje mesmo uma demonstração individual com nossos especialistas.

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.