O National Institute of Standards and Technology (NIST), dos Estados Unidos, actualizou o amplamente utilizado Cybersecurity Framework (CSF), o seu documento de orientação de referência para reduzir o risco de cibersegurança. A nova edição 2.0 foi concebida para todos os públicos, sectores industriais e tipos de organizações, desde as mais pequenas escolas e organizações sem fins lucrativos até às maiores agências e empresas – independentemente do seu grau de sofisticação em termos de cibersegurança.
Em resposta aos inúmeros comentários recebidos sobre a versão preliminar, o NIST expandiu a orientação principal do CSF e desenvolveu recursos relacionados para ajudar os utilizadores a tirar o máximo partido da estrutura. Estes recursos foram concebidos para fornecer a diferentes públicos percursos personalizados para o CSF e tornar a estrutura mais fácil de pôr em prática.
“O CSF tem sido uma ferramenta vital para muitas organizações, ajudando-as a antecipar e a lidar com as ameaças à cibersegurança”, afirmou a Subsecretária de Comércio para Normas e Tecnologia e Directora do NIST, Laurie E. Locascio. “O CSF 2.0, que se baseia nas versões anteriores, não se trata apenas de um documento. Trata-se de um conjunto de recursos que podem ser personalizados e utilizados individualmente ou em combinação ao longo do tempo, à medida que as necessidades de cibersegurança de uma organização mudam e as suas capacidades evoluem.”
O CSF 2.0, que apoia a implementação da Estratégia Nacional de Cibersegurança, tem um âmbito alargado que vai além da protecção de infra-estruturas críticas, como hospitais e centrais eléctricas, para todas as organizações em qualquer sector. Tem também um novo enfoque na governação, que engloba a forma como as organizações tomam e executam decisões informadas sobre a estratégia de cibersegurança. A componente de governação do CSF sublinha que a cibersegurança é uma importante fonte de risco empresarial que os líderes seniores devem considerar juntamente com outras, como as finanças e a reputação.
“Desenvolvido em estreita colaboração com as partes interessadas e reflectindo os mais recentes desafios de cibersegurança e práticas de gestão, esta atualização visa tornar o quadro ainda mais relevante para uma faixa mais vasta de utilizadores nos Estados Unidos e no estrangeiro”, de acordo com Kevin Stine, chefe da Divisão de Cibersegurança Aplicada do NIST.
Na sequência de uma ordem executiva presidencial, o NIST lançou pela primeira vez o CSF em 2014 para ajudar as organizações a compreender, reduzir e comunicar sobre o risco de cibersegurança. O núcleo da estrutura está agora organizado em torno de seis funções principais: Identificar, Proteger, Detectar, Responder e Recuperar, juntamente com a recém-adicionada função Governar do CSF 2.0. Quando consideradas em conjunto, estas funções fornecem uma visão abrangente do ciclo de vida da gestão do risco de cibersegurança.
O quadro actualizado prevê que as organizações se aproximem do CSF com diferentes necessidades e graus de experiência na implementação de ferramentas de cibersegurança. Os novos utilizadores podem aprender com os sucessos de outros utilizadores e seleccionar o seu tópico de interesse a partir de um novo conjunto de exemplos de implementação e guias de início rápido concebidos para tipos específicos de utilizadores, tais como pequenas empresas, gestores de riscos empresariais e organizações que procuram proteger as suas cadeias de fornecimento.
A nova Ferramenta de Referência do QCA 2.0 simplifica agora a forma como as organizações podem implementar o QCA, permitindo aos utilizadores navegar, pesquisar e exportar dados e detalhes da orientação central do QCA em formatos legíveis por humanos e máquinas.
Além disso, o CSF 2.0 oferece um catálogo pesquisável de referências informativas que mostra como as suas acções actuais se relacionam com o CSF. Este catálogo permite que uma organização faça referências cruzadas entre as orientações do CSF e mais de 50 outros documentos de cibersegurança, incluindo outros do NIST, como o SP 800-53 Rev. 5, um catálogo de ferramentas (chamadas controlos) para alcançar resultados específicos de cibersegurança.
As organizações também podem consultar a Cybersecurity and Privacy Reference Tool (CPRT), que contém um conjunto inter-relacionado, navegável e descarregável de documentos de orientação do NIST que contextualiza estes recursos do NIST, incluindo o CSF, com outros recursos populares. E a CPRT oferece formas de comunicar estas ideias tanto a especialistas técnicos como à direção, para que todos os níveis de uma organização possam manter-se coordenados.
O NIST planeia continuar a melhorar os seus recursos e a tornar o CSF um recurso ainda mais útil para um conjunto mais vasto de utilizadores, disse Stine, e o feedback da comunidade será crucial.
O CSF é amplamente utilizado internacionalmente; as versões 1.1 e 1.0 foram traduzidas para 13 idiomas, e o NIST espera que o CSF 2.0 também seja traduzido por voluntários em todo o mundo. Essas traduções serão adicionadas ao portfólio em expansão de recursos CSF do NIST. Nos últimos 11 anos, o trabalho do NIST com a Organização Internacional de Normalização (ISO), em conjunto com a Comissão Eletrotécnica Internacional (IEC), ajudou a alinhar vários documentos de cibersegurança. Os recursos ISO/IEC permitem agora que as organizações criem estruturas de cibersegurança e organizem controlos utilizando as funções do QCA. O NIST planeia continuar a trabalhar com a ISO/IEC para prosseguir este alinhamento internacional.
