Faça um tour! NIST Cybersecurity Framework 2.0: Guia de início rápido para pequenas empresas

A Administração de Pequenas Empresas dos EUA está comemorandoSemana Nacional das Pequenas Empresas de 28 de abril a 4 de maio de 2024. Esta semana reconhece e celebra as contribuições significativas da comunidade de pequenas empresas para a nação. Organizações em todo o país participam organizando eventos presenciais e virtuais, reconhecendo líderes de pequenas empresas e agentes de mudança e destacando recursos que ajudam a comunidade de pequenas empresas a iniciar e expandir seus negócios com mais facilidade e eficiência.

Para aumentar as festividades, este blog NIST Cybersecurity Insights apresenta o NIST Cybersecurity Framework 2.0 Small Business Quick Start Guide, um novo recurso projetado para ajudar a comunidade de pequenas e médias empresas (PMEs) a começar a gerenciar e reduzir seus riscos de segurança cibernética. Você trabalhou duro para iniciar e expandir seus negócios. Você está tomando as medidas necessárias para protegê-lo? À medida que as pequenas empresas se tornaram mais dependentes de dados e tecnologia para operar e dimensionar um negócio moderno, a segurança cibernética tornou-se um risco fundamental que deve ser abordado juntamente com outros riscos comerciais. Este guia foi elaborado para ajudar.

Entendendo a Estrutura de Segurança Cibernética (CSF) do NIST

Vamos primeiro dar um passo para trás. Antes de falarmos sobre o Guia de início rápido do CSF 2.0 para pequenas empresas, é importante primeiro entender sua base. O CSF é uma orientação voluntária que ajuda as organizações – independentemente do tamanho, setor ou maturidade – a entender, avaliar, priorizar e comunicar melhor seus esforços de segurança cibernética (esses estágios de entender, avaliar, priorizar e comunicar voltarão ao foco em apenas um momento).

O CSF descreve quais resultados desejáveis de segurança cibernética uma organização pode aspirar a alcançar. E como cada organização é diferente, o CSF não prescreve resultados nem como eles podem ser alcançados. A estrutura é flexível para que cada organização possa adaptar sua implementação para atender às suas próprias necessidades, missão, recursos e riscos exclusivos. É particularmente útil para promover a comunicação interna ou externa, criando um vocabulário comum para discutir o gerenciamento de riscos de segurança cibernética.

Publicado pela primeira vez em 2014, o QCA passou recentemente por uma revisão significativa.CSF 2.0 foi publicado em 26 de fevereiro de 2024. Junto com o documento atualizado, o NIST publicou novos materiais suplementares destinados a ajudar diferentes públicos a entender melhor e colocar o CSF 2.0 em ação.

Apresentando o Guia de Início Rápido do CSF 2.0 para Pequenas Empresas

O Guia fornece às pequenas e médias empresas (PMEs), especificamente aquelas que têm planos de segurança cibernética modestos ou inexistentes, considerações para iniciar sua estratégia de gerenciamento de riscos de segurança cibernética usando o CSF 2.0.

O CSF é frequentemente discutido em termos de transporte – “Viaje pelo CSF 2.0” ou “Jornada para o CSF”. Por quê? Porque a segurança cibernética é uma jornada contínua. Considere o Guia de Início Rápido do SMB como uma rampa de acesso para essa jornada.

As informações incluídas neste Guia não são abrangentes ou prescritivas; destina-se a oferecer um bom ponto de partida para uma pequena ou média empresa. O Guia também não se destina a substituir o QCA. Destina-se a ser uma introdução a ele. Ou, como mencionado anteriormente, uma rampa de acesso a ele.

Como o Guia de Início Rápido SMB é organizado?

O Guia é organizado por Função — 1 página por Função. O que é uma função CSF, você pode perguntar? Essas são categorizações de resultados de segurança cibernética (o que você deseja alcançar) em seus níveis mais altos. São eles: Governar, Identificar, Proteger, Detectar, Responder e Recuperar. TheseFunctions, quando considerados em conjunto, fornecem uma visão abrangente do gerenciamento de riscos de segurança cibernética.

• Governar: A estratégia, as expectativas e a política de gerenciamento de riscos de segurança cibernética da organização são estabelecidas, comunicadas e monitoradas
• Identificar: Os riscos atuais de segurança cibernética da organização são compreendidos
• Proteger: Salvaguardas para gerenciar os riscos de segurança cibernética da organização são usadas.
• Detectar: Possíveis ataques e comprometimentos de segurança cibernética são encontrados e analisados.
• Responder: Ações relacionadas a um incidente de segurança cibernética detectado são tomadas
• Recuperar: Os ativos e operações afetados por um incidente de segurança cibernética são restaurados.

Em cada página do Guia, os leitores podem esperar finformações ind para ajudá-lo a entender melhor a função e colocá-la em ação. Cada página é organizada em quatro seções principais: Ações a serem consideradas, Introdução, Perguntas a serem consideradas e Recursos adicionais. Vamos explorar cada seção com mais profundidade:

1. Ações a considerar: Como mencionado anteriormente, o CSF ajuda as organizações a entender, avaliar, priorizar e comunicar melhor seus esforços de segurança cibernética. É por isso que as “Ações a Considerar” do Guia são organizadas nessas etapas.

• O Entenda e avalie As seções fornecem ações para ajudar os leitores a entender a postura de segurança cibernética atual ou alvo de parte ou de toda uma organização, determinar lacunas e avaliar o progresso para lidar com essas lacunas.
• O Priorizarincluirá ações para ajudar os leitores a identificar, organizar e priorizar ações para gerenciar riscos de segurança cibernética que se alinhem com a missão da organização, requisitos legais e regulatórios e expectativas de gerenciamento e governança de riscos.
• O Comunicar fornece ações para comunicação dentro e fora da organização sobre riscos, capacidades, necessidades e expectativas de segurança cibernética.

Seguircada ação a ser considerada é um parêntese (veja a imagem abaixo), que documenta a que parte do Cybersecurity Framework Core a ação faz referência. O Core é um conjunto de resultados de segurança cibernética organizados por função, categoria e subcategoria. No caso mostrado abaixo (GV. OC-01) “GV” é a Função (Governar), “OC” é a Categoria (Contexto Organizacional) e “01” é a designação da Subcategoria. Cada ação a considerar está vinculada ao núcleo da estrutura de segurança cibernética.

2. Começando:Essa área detalha um conceito específico dentro da Função. Por exemplo, conforme mostrado na imagem abaixo, duas tabelas de planejamento são fornecidas para ajudar as empresas a começar a pensar na documentação de sua estratégia de governança. As empresas, é claro, precisarão personalizar essas tabelas para atender às suas próprias necessidades, mas elas fornecem um ponto de referência para começar.

Para aqueles que desejam se aprofundar nas orientações do NIST sobre um tópico específico, um Technical Deep Dive também está incluído em todas as páginas. Esses recursos são um componente importante porque este Guia de início rápido para pequenas e médias empresas não se destina a ser o destino final na jornada de uma empresa para melhorar o gerenciamento de riscos de segurança cibernética. À medida que uma empresa cresce, suas necessidades mudam e sua dependência da conectividade e da tecnologia aumenta, sua abordagem ao gerenciamento de riscos de segurança cibernética precisará se tornar mais sofisticada. Esses recursos podem ajudar nessa jornada.

3. Questões a considerar:Esta seção está incluída em todas as páginas para incentivar os leitores a se envolverem com o conteúdo e começarem a pensar em questões importantes relacionadas ao gerenciamento de riscos de segurança cibernética. Não são todas as perguntas que uma empresa deve se fazer, mas fornecem um ponto de partida para a discussão. Essas perguntas, e o Guia como um todo, também podem servir como um prompt de discussão entre o proprietário de uma empresa equem eles escolheram para ajudá-los a reduzir seus riscos de segurança cibernética, como um provedor de serviços de segurança gerenciada (MSSP).

• A página final do Guia destaca recursos adicionais que você pode acessar na Biblioteca de Recursos do CSF 2.0:https://www.nist.gov/cyberframework.
• Veja a gravação do nosso webinar de 20 de março de 2024: “Visão geral do Guia de início rápido do NIST CSF 2.0 para pequenas empresas.”

Envolva-se em nosso trabalho de segurança cibernética NIST SMB

• Junte-se à Comunidade de Interesse em Segurança Cibernética (COI) do NIST para Pequenas Empresas. Este COI foi criado para reunir os setores público e privado para compartilhar insights de negócios, conhecimentos, desafios e perspectivas para orientar nosso trabalho e comoajudar o NIST a atender às necessidades de segurança cibernética da comunidade de pequenas empresas.
• Enviar comentários sobreNIST IR 7621 Rev. 1, Segurança da Informação para Pequenas Empresas: Os Fundamentos. O NIST emitiu uma chamada pré-rascunho para comentários para solicitar feedback. O público é convidado a fornecer informações até as 12h ET de 16 de maio de 2024.
• Visite o NIST Small Business Cybersecurity Corner para visualizar nossa biblioteca de recursos de segurança cibernética para pequenas empresas, para se inscrever nos próximos eventos e muito mais.