Atualizações para NIST CSF 2.0 Finalizado

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) finalizou com sucesso a primeira grande atualização da estrutura desde sua criação em 2014. A estrutura da agência tem sido um conjunto histórico de diretrizes e melhores práticas usadas por organizações e agências governamentais no mundo todo para gerenciar riscos de segurança cibernética.

Agora, após mais de dois anos de discussões e comentários públicos concebidos para tornar a estrutura mais eficaz para um cenário em evolução, o NIST lançou o nova edição 2.0 de sua estrutura de segurança cibernética.

Com novas ameaças cibernéticas surgindo todos os dias, o NIST CSF 2.0 é um recurso essencial para todos os setores da indústria, como pequenas escolas, organizações sem fins lucrativos ou grandes agências e corporações, não importa o nível de especialização em segurança cibernética.

O que mudou?

Em resposta à extensa opinião recebido durante o conceito propostoO NIST fez diversas mudanças importantes para melhorar a experiência do usuário com a estrutura.

• Novo escopo: A versão mais recente do NIST Cybersecurity Framework 2.0 (CSF) foi revisada para ampliar o público-alvo. Anteriormente, o framework era voltado principalmente para organizações nacionais de infraestrutura crítica, como as dos setores de serviços públicos, telecomunicações, transporte e bancos. Agora, o CSF visa auxiliar todas as organizações a mitigar e minimizar riscos de forma eficaz. O NIST aprimorou as diretrizes principais do CSF e introduziu uma gama de ferramentas para auxiliar organizações de todos os tipos a atingir seus objetivos de segurança cibernética, com foco maior em governança e gestão da cadeia de suprimentos.
• Uma função principal adicional: O núcleo anterior da estrutura era organizado em torno de cinco funções principais: Identificar, Proteger, Detectar, Responder e Recuperar. O CSF 2.0 agora inclui a função Governança, que estabelece e comunica a estratégia e a política de gestão de riscos de segurança cibernética da organização. Ela também monitora e prioriza os resultados em alinhamento com a missão da organização e as expectativas das partes interessadas.
• Guias de início rápido: A estrutura revisada reconhece que as organizações abordarão o CSF com diferentes requisitos e níveis de experiência na implementação de segurança cibernética. Usuários iniciantes podem extrair insights das realizações de outros e escolher sua área de foco a partir de uma nova compilação de estudos de caso e guias fáceis de usar adaptado para categorias específicas de usuários — incluindo pequenas empresas, gerentes de risco corporativo e entidades que visam fortalecer suas cadeias de suprimentos.
• Recursos e kit de ferramentas expandidos: O novo Ferramenta de Referência CSF 2.0 elimina a incerteza do processo de implementação para as organizações, fornecendo uma interface amigável para navegação, pesquisa e exportação de dados e detalhes das diretrizes principais do CSF. Esta ferramenta apresenta informações em formatos facilmente compreensíveis tanto para humanos quanto para máquinas. Além disso, o CSF 2.0 inclui um catálogo pesquisável de referências informativas, permitindo que as organizações vejam como suas ações atuais se alinham com o CSF. Este catálogo permite a referência cruzada das orientações do CSF com mais de 50 outros documentos de segurança cibernética, incluindo aqueles do NIST, como SP 800-53 Rev. 5, que oferece uma variedade de ferramentas (chamadas de controles) para atingir objetivos específicos de segurança cibernética.

Os 6 componentes do Framework Core

O núcleo da estrutura agora está organizado em torno de seis funções principais: Identificar, Proteger, Detectar, Responder e Recuperar — e a recém-adicionada função Governar do CSF 2.0. Juntas, essas funções fornecem uma visão holística do ciclo de vida do gerenciamento de riscos de segurança cibernética.

1. Governar: Estabelece e comunica a estratégia e a política de gestão de riscos de segurança cibernética da organização. Monitora e prioriza os resultados em alinhamento com a missão da organização e as expectativas das partes interessadas. Fundamental para integrar a segurança cibernética à estratégia mais ampla de gestão de riscos corporativos (ERM). Aborda a compreensão do contexto organizacional, o estabelecimento da estratégia de segurança cibernética, a gestão de riscos da cadeia de suprimentos, funções, responsabilidades, autoridades, políticas e supervisão.
2. Identificar: Concentra-se na compreensão dos riscos atuais de segurança cibernética dentro da organização. Identifica ativos, fornecedores e riscos de segurança cibernética relacionados para priorizar esforços. Inclui a identificação de oportunidades de melhoria para políticas, planos, processos, procedimentos e práticas que apoiam a gestão de riscos de segurança cibernética.
3. Proteger: Utiliza salvaguardas para gerenciar riscos de segurança cibernética de forma eficaz. Protege ativos para prevenir ou mitigar eventos adversos de segurança cibernética. Abrange gerenciamento de identidade, controle de acesso, treinamento de conscientização, segurança de dados e segurança de plataforma.
4. Detectar: Visa identificar e analisar potenciais ataques e comprometimentos de segurança cibernética prontamente. Oferece suporte à descoberta e análise oportuna de anomalias e indicadores de comprometimento. Possibilita atividades bem-sucedidas de resposta a incidentes e recuperação.
5. Responder: Envolve a tomada de medidas em resposta a incidentes de segurança cibernética detectados. Inclui gerenciamento, análise, mitigação, geração de relatórios e comunicação de incidentes.
6. Recuperar: Concentra-se na restauração de ativos e operações afetados por incidentes de segurança cibernética. Auxilia na restauração oportuna das operações normais para minimizar o impacto dos incidentes. Facilita a comunicação adequada durante os esforços de recuperação.

Por que o NIST é importante

NISTO Instituto Nacional de Padrões e Tecnologia (NIST), desempenha um papel fundamental na definição de protocolos de tecnologia e segurança cibernética em diversos setores. Por meio de sua estrutura de segurança cibernética (CSF), o NIST fornece um conjunto abrangente de diretrizes para que as organizações se protejam contra ameaças cibernéticas. Amplamente reconhecidos e continuamente atualizados, os padrões e diretrizes do NIST se adaptam a riscos emergentes e avanços tecnológicos.

A conformidade com os protocolos do NIST é frequentemente obrigatória para entidades em áreas regulamentadas como finanças e saúde. As organizações podem reforçar sua defesa contra ameaças cibernéticas, diminuir a probabilidade de violações de dados e garantir a conformidade com as regulamentações relevantes — tudo isso aderindo às recomendações do NIST. A influência do NIST no setor de tecnologia e segurança cibernética é inegável, e seus esforços consistentes para promover a segurança e a inovação são essenciais para a proteção tanto das empresas quanto de seus consumidores.

Obtenha conformidade com o NIST com o BigID

Para organizações que buscam se manter atualizadas com o NIST CSF 2.0, a BigID tem tudo o que você precisa. Nossa abordagem de segurança centrada em dados combina descoberta profunda de dados, classificação de dados de última geraçãoe gerenciamento de riscos. Saiba onde seus dados estão localizados, quão sensíveis eles são e quem os acessa para atender às diretrizes da estrutura de segurança cibernética do NIST.

Com o BigID, você pode:

• Mapa para o NIST: Aprenda como se alinhar às estruturas do NIST para segurança cibernética (CSF) e como melhorar seu gerenciamento de risco de dados, postura de privacidade e programa de segurança em uma única estrutura unificada.
• Conheça seus dados: A capacidade de identificar seus dados é o primeiro passo crítico tanto no NIST Cybersecurity Framework quanto no NIST Privacy Framework. Para reduzir riscos, as organizações precisam identificar todos os seus dados, em todos os lugares. A descoberta e classificação de dados do BigID ajuda as organizações a identificar automaticamente seus dados sensíveis, pessoais e regulamentados em todo o cenário de dados.
• Classificação de dados: O NIST recomenda o uso de três categorias — baixo impacto, impacto moderado e alto impacto — para classificar todos os dados, em qualquer lugar, a fim de atender à conformidade com a privacidade e a proteção de dados. Classifique por categoria, tipo, sensibilidade, política e muito mais com os recursos avançados de classificação de dados do BigID.
• Reduzir riscos: Gerenciar o acesso a dados empresariais sensíveis e críticos – as organizações precisam incorporar o controle de acesso para identificar quem tem (e quem deveria ter) acesso a dados sensíveis. BigID's Aplicativo Access Intelligence ajuda organizações a identificar e remediar problemas de acesso a dados de alto risco com insights baseados em ML para identificar e priorizar riscos de acesso a arquivos.
• Resposta a incidentes: Quando incidentes acontecem, cada segundo conta. A análise de violações com reconhecimento de identidade da BigID avalia com eficácia o escopo e a magnitude de uma violação de dados. Identifique rapidamente quais usuários e dados pessoais foram comprometidos e responda de acordo com o NIST.

Atualize seus programas de segurança e alcance a conformidade com o NIST CSF 2.0 — Agende uma demonstração individual com nossos especialistas hoje mesmo.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.