NIST e a Gestão dos Riscos de Segurança Cibernética. Instituto Nacional de Padrões e Tecnologia (NIST) atualizou o seu Cybersecurity Framework (CSF) lançando a versão 2.0.
Para antecipar o futuro e tentar garantir a utilidade da ferramenta para os mais variados segmentos, o Instituto Nacional de Padrões e Tecnologia (NIST) atualizou o seu Cybersecurity Framework (CSF) lançando a versão 2.0. É a primeira reformulação completa da abordagem sistêmica da agência para a gestão dos riscos de segurança, desde o seu lançamento, há quase uma década. Até 4 de novembro o draft está aberto para comentários e a previsão é que o texto final seja publicado no início de 2024.
Referência no tema, o NIST CSF reúne padrões, diretrizes e práticas recomendadas para ajudar as organizações a implementar e aprimorar as posturas de segurança cibernética. Enquanto a primeira versão da metodologia tinha como foco a avaliação qualitativa dos riscos de infraestruturas críticas, como hospitais e companhias de energia, a atualização destaca a importância da medição quantitativa para compreender as probabilidades e os impactos dos eventos de segurança, ampliando o escopo de aplicação para corporações de uma forma geral.
A quantificação possibilita o gerenciamento do risco cibernético baseado em dados, melhor comunicação com a liderança e tomada de decisões apoiada em informações. Proporciona, ainda, medições objetivas de risco, possibilitando a definição de limites de tolerância, priorização, correlação com gastos e redução dos riscos ao longo do tempo.
Outra novidade é que os protocolos de segurança de melhores práticas ganharam uma sexta função, de Governança (que abrange a forma como a organização deve executar suas decisões internas), que se soma às cinco estabelecidas anteriormente: Identificar, Proteger, Detectar, Responder e Recuperar, essenciais para a construção dos pilares de um programa de cibersegurança bem-sucedido. A medida enfatiza o fato de a segurança digital ser uma fonte importante de risco empresarial, ao lado das questões legais e financeiras, e serve de alerta para as lideranças.
A metodologia NIST CSF fornece, ainda, um guia passo a passo para criação de um Programa de Gerenciamento de Riscos de Segurança Cibernética, com exemplos de Framework para situações específicas, além de garantir uma linguagem comum e uma metodologia sistemática para gerir o risco em todos os setores, facilitando a comunicação entre o pessoal técnico e não técnico. O processo envolve a priorização e definição do escopo, condução de uma avaliação de risco, análise e priorização de lacunas, além da implementação efetiva do plano de ação.
Outro objetivo da versão 2.0 é explicar como as organizações podem aproveitar as estruturas de tecnologia, padrões e diretrizes, seja do NIST ou de outras fontes, para implementar o Plano de Segurança. A ferramenta disponibiliza recursos on-line para pesquisa e exportação de dados em formatos manual e automatizado.
Muitas organizações ainda não têm um plano de resposta a incidentes cibernéticos ou não realizam testes regularmente. Outras não comunicam adequadamente os incidentes de segurança, o que pode levar a danos à reputação e à confiança dos clientes. A detecção de ameaças digitais é um processo complexo que requer ferramentas avançadas e habilidades especializadas.
A visibilidade da superfície de ataque precisa ser uma prioridade de qualquer empresa, garantida por metodologia e ferramentas modernas capazes de correlacionar diferentes sensores e dados em tempo real, e trazer informações do que é mais crítico e vulnerável, para a equipe poder priorizar e contra-atacar. Ao promover a compreensão da medição dos riscos digitais, o NIST permite que as organizações compreendam melhor suas exposições e tomem decisões estratégicas para elevar a postura de segurança.
FONTE: MINUTO DA SEGURANÇA