Crédito:
Natasha Hanacek, NIST
O O processo de desenvolvimento do NIST Cybersecurity Framework (CSF) começou com a Ordem Executiva (EO) 13636 há mais de uma década, que exigia a construção de um conjunto de abordagens (uma estrutura) para reduzir os riscos para as infraestruturas críticas. Por meio deste EO, o NIST foi encarregado de desenvolver uma “Estrutura de Segurança Cibernética”. Sabíamos que, para fazer isso da maneira certa, o NIST precisaria trabalhar ao lado da indústria, da academia e de outras agências governamentais. Isso é exatamente o que fizemos – e temos feito nos últimos 10 anos – à medida que o CSF se tornou mais popular em todo o mundo.
Também sabíamos que o CSF precisava ser um documento vivo que deveria ser refinado, melhorado e evoluir com o tempo. Para enfrentar os desafios e melhorias atuais e futuros da segurança cibernética, o NIST iniciou a jornada de desenvolvimento do CSF 2.0. Ao longo do caminho, o NIST solicitou contribuições por meio de solicitações formais de informações, workshops e reuniões menores, sugestões de usuários e não usuários e rascunhos de documentos para comentários públicos. Tudo isso resultou nas versões 1.0 e 1.1 do CSF e, mais recentemente, em um rascunho do CSF 2.0.
O que as organizações devem saber sobre o CSF 2.0 do NIST … e recursos relacionados
O QCA 2.0, juntamente com o NIST Recursos suplementares, pode ser usado pelas organizações para entender, avaliar, priorizar e comunicar os riscos de segurança cibernética. É particularmente útil para promover a comunicação interna e externa em todos os níveis (inclusive entre equipes internas, desde o C-Suite até a gerência intermediária e para aqueles que desempenham responsabilidades diárias de segurança cibernética). O CSF também busca melhorar a comunicação com fornecedores e parceiros e destina-se a ajudar as organizações a integrar questões relacionadas à segurança cibernética com estratégias mais amplas de gerenciamento de riscos corporativos.
O QCA 2.0 está organizado por seis funções: Governar, Identificar, Proteger, Detectar, Responder,e Recuperar.Juntas, essas funções fornecem uma visão abrangente para gerenciar o risco de segurança cibernética. A Estrutura também é composta pelo seguinte:
Núcleo do CSF—Uma taxonomia de resultados de segurança cibernética de alto nível que podem ajudar qualquer organização a gerenciar seus riscos de segurança cibernética. Isso pode ser encontrado no Apêndice A do CSF 2.0 (e o Core pode ser navegado por meio da Ferramenta de Referência do CSF 2.0).
Perfis Organizacionais do QCA— Um mecanismo para descrever a postura de segurança cibernética atual e/ou alvo de uma organização em termos dos resultados do CSFCore.
Níveis do CSF— Uma abordagem que pode ser aplicada aos perfis organizacionais da CSFO para caracterizar o rigor das práticas de gerenciamento de riscos de segurança cibernética de uma organização.As grandes notícias de hojenão se trata apenas de um documento singular; trata-se de um conjunto de recursos (documentos e aplicativos) que podem ser usados individualmente, em conjunto ou em combinação ao longo do tempo, à medida que as necessidades de segurança cibernética mudam e os recursos evoluem. Os materiais são projetados para atingir todos os públicos e abranger todos os setores e tipos de organização.
O QCA 2.0 melhora as versões anteriores; Ouvimos seus comentários, fizemos atualizações importantes, desenvolvemos novos recursos e ferramentas e ajustamos nossas orientações com base no ambiente de segurança cibernética atual.
- Ao oferecer sugestões práticas e acionáveis, os recursos do NIST – especialmente o conjunto de Guias de Início Rápido que estamos compartilhando hoje (e os que adicionarmos mais tarde no futuro) — pode ajudar as organizações a melhorar imediatamente sua postura de segurança cibernética porque se concentram em como o QCA pode ser executado.
- Para melhor integrar os recursos relacionados, Solução de mapeamento do NISTdemonstra como os usuários podem passar rapidamente das declarações de resultados do CSF para uma melhor segurança cibernética na prática.
- Novo Exemplos de implementaçãopermite que os usuários revisem as etapas orientadas à ação para ajudá-los a começar (ou continuar).
Explore os recursos!
Agora que o grande dia de lançamento finalmente chegou, esperamos que as organizações (e aqueles que orientam ou executam estratégias de segurança cibernética) considerem o conjunto de documentos e ferramentas do CSF 2.0 que fazem a diferença no gerenciamento e redução dos riscos de segurança cibernética.
O NIST continua a incentivar discussões francas e construtivas e outros Compromissos sobre organizações&rsQuo; Experiências com o QCA. Lembre-se, o gerenciamento de riscos de segurança cibernética é sempre uma jornada – e o CSF 2.0 é um guia de navegação que pode ajudar a tornar essa jornada mais bem-sucedida.
Comentários, perguntas ou feedback? Envie-nos um e-mail paraciberestrutura [at] nist.gov (ciberestrutura[at]Nist[dot]Gov)! Você também pode nos seguir no X via@NISTcyber para se manter atualizado à medida que fazemos mais pitstops ao longo do caminho.