Entrei para o NIST como o primeiro gerente em tempo integral do NICE Framework em outubro de 2020, apenas um mês antes de o NICE publicar a primeira revisão da Publicação Especial do NIST 800-181, o NICE Workforce Framework for Cybersecurity (NICE Framework). Essa revisão – longe de finalizar o trabalho – foi o ponto de partida que nos levou a uma atualização completa dos componentes do NICE Framework, que inclui:
- Categorias de Função de Trabalho e Funções de Trabalho revisadas – incluindo uma nova Função de Trabalho.
- Onze novas áreas de competência que ampliam o conhecimento e as habilidades de segurança cibernética da estrutura.
- Instruções de Tarefa, Conhecimento e Habilidade (TKS) atualizadas que são mais modulares, consistentes e claras para facilitar o uso.
Esses componentes foram lançados como versão 1.0.0 em 5 de março de 2024.
Por que uma estrutura de força de trabalho para segurança cibernética é importante?
Gerenciar os riscos de segurança cibernética é essencial no mundo digital de hoje, e a segurança cibernética é um campo cada vez mais interdisciplinar que oferece oportunidades de trabalho bem remuneradas e sob demanda. O NICE Framework usa uma linguagem clara para descrever o trabalho de segurança cibernética e aqueles que o executam de forma padronizada, independentemente de onde estejam posicionados na estrutura organizacional. Ele é usado nos setores público e privado e de grandes a pequenas organizações para descoberta de carreira, educação e treinamento e contratação e planejamento da força de trabalho. As atualizações dos componentes do NICE Framework ajudam indivíduos, educadores e empregadores a se prepararem para atender às demandas atuais de empregos relacionados à segurança cibernética, descrevendo as funções de trabalho e as áreas de competência de segurança cibernética e as tarefas, conhecimentos e habilidades necessárias para apoiá-los.
O que vimos como resultado é uma melhor compreensão de como as funções de trabalho e áreas de competência da estrutura NICE podem ser usadas para criar descrições de cargos, apoiar a contratação baseada em habilidades, aumentar a diversidade e aumentar o pipeline de talentos e fornecer maior visibilidade de como o risco de uma organização é gerenciado, vulnerabilidades mitigadas e incidentes abordados. É usado em escolas K-12 para introduzir a ampla variedade de empregos que têm responsabilidades de segurança cibernética; por instituições de ensino superior, organizações de treinamento e organismos de certificação para ajudar a fornecer aos indivíduos as habilidades e conhecimentos necessários para ter sucesso no local de trabalho; em competições de habilidades de segurança cibernética, ferramentas online e serviços de suporte para orientar planos de carreira; e por empregadores e funcionários para ajudar a moldar planos de desenvolvimento profissional e permitir o avanço na carreira. Em suma, é a base para o amplo ecossistema que trabalha em conjunto para promover a força de trabalho de segurança cibernética.
O que vem a seguir?
A tecnologia tem um impacto de longo alcance em nossas vidas, cultura e locais de trabalho. A recente pandemia de COVID acelerou muitas dessas mudanças, cujo ritmo não mostrou sinais de desaceleração. Estamos entrando, se não já no meio, do que foi chamado de quarta revolução industrial – a terceira é a revolução digital. Esta quarta revolução é caracterizada pela tecnologia onipresente em todos os aspectos de nossa sociedade e pelo advento de sistemas ciberfísicos conectados apoiados por análises, inteligência artificial e engenharia avançada. Dizer que a tecnologia tem o potencial de ser disruptiva pode ser um eufemismo e, para cada mudança, há novas considerações de segurança e riscos contra os quais se defender.
O lançamento dos componentes de março é uma grande mudança.Do total de 2.280 instruções TKS na versão 1.0.0, apenas 139 são mantidas como existiam em 2017 – a última vez que foram publicadas. As atualizações da declaração abordam consistência, clareza e redundância e apóiam a contratação baseada em habilidades e avaliações baseadas em desempenho, concentrando-se no trabalho em si e no que alguém precisa saber ou fazer, em vez de descrever habilidades potenciais. As 11 novas Áreas de Competência nos permitem estender ainda mais a Estrutura NICE. Eles são grupos de declarações de conhecimento e habilidade relacionadas que se correlacionam com a capacidade de executar tarefas em um domínio específico. Eles podem ser usados em conjunto ou independentemente das Funções de Trabalho e se concentram em áreas de alta demanda, bem como representam domínios que abrangem várias Funções de Trabalho ou que ainda não possuem Funções de Trabalho estabelecidas. Por fim, o lançamento mescla duas funções de trabalho sobrepostas em uma:Desenvolvimento de Sistemas Seguros—e introduz uma nova função de trabalho, análise de ameaças internas. Um resumo completo das alterações e um mapeamento da versão anterior para esta atualização estão disponíveis no NICE Framework Resource Center.
Mas a v.1.0.0 não é a última mudança ou atualização esperada. Instead, é um primeiro passo no que sabemos que será uma série de passos, saltos, pivôs e saltos. Como a força de trabalho que representa, ela continuará a evoluir e crescer à medida que planejamos desenvolver novas funções de trabalho, desenvolver áreas de competência e revisar e revisitar o conteúdo existente para garantir que o que está na estrutura NICE reflita as necessidades atuais de atrair, desenvolver e aumentar a força de trabalho de segurança cibernética necessária para gerenciar os riscos do ciberespaço, enquanto antecipa mudanças futuras na tecnologia e nas necessidades do empregador.
O NICE Framework fornece uma base para um ecossistema coordenado de partes interessadas para que, juntos, possamos avançar a força de trabalho de segurança cibernética. Estamos ansiosos para o que vem a seguir e para que você se junte a nós nesta jornada. Saiba mais sobre as atualizações recentes do NICE Framework, como interagir conosco e encontre recursos de suporte adicionais no NICE Framework Resource Center:www.nist.gov/nice/framework/.