retornar retornar
Descodificação de ameaças cibernéticas para 2023

POR:
Diego Staino
(Pesquisador e Instrutor de Cibersegurança)

COMPARTILHAR

Twitter Facebook Linkedin
REFERÊNCIAS
TÉCNICOS 24 MAR 23  •  33' LEITURA

NIST Cybersecurity Framework v2.0

Em 2022, o NIST comemorou 50 anos de pesquisa em segurança cibernética, desenvolvendo guias de boas práticas,padrões, guias de privacidade entre outros recursos. Isso tornou possível proteger melhor a tecnologia existente e fornecer uma plataforma para o desenvolvimento seguro de tecnologias futuras.

Dentro desses recursos podemos encontrar o "Cybersecurity Framework" (CSF), uma ferramenta muito útil para reduzir os riscos cibernéticos nas organizações. O CSF fornece uma linguagem comum e simplificada, adapta-se a muitas tecnologias, fases do ciclo de vida, setores e usos. Tem uma abordagem baseada no risco e está em conformidade com os padrões internacionais, o que é em parte o que o torna altamente reconhecido em todo o mundo.

O CSF também é apoiado por múltiplas perspectivas, inclusive do setor privado e público, e contribuições da academia, o que de alguma forma garante que uma ampla gama de pontos de vista e necessidades sejam levadas em consideração. Além disso, ajuda a alinhar os requisitos legais/regulatórios com o gerenciamento de riscos e as prioridades organizacionais. Em suma, ajuda-nos a melhorar a segurança dos sistemas, dados e operações em geral.



Como o CSF v1.1 é usado?

Um processo típico de implementação dessa estrutura consiste nas seguintes etapas:

  • Avaliação de risco
    • A organização identifica ativos críticos, ameaças e vulnerabilidades relevantes para suas operações.
  • Criação de um perfil atual
    • O estado atual das atividades realizadas no campo da cibersegurança (Processos, controles, operações) é revelado e é transformado em um "perfil atual".
  • Criação de um perfil objetivo
    • É criado um perfil que descreve os objetivos de segurança cibernética.
  • Planejamento da melhoria
    • Uma vez identificada a lacuna entre os dois perfis, são estabelecidas prioridades para melhorar a postura de segurança da organização. Um plano de melhoria é desenhado de acordo com os objetivos da organização e a avaliação de risco anterior.
  • Implementação
    • Se implementa o plano de melhoria, os recursos são atribuídos e as atividades planejadas são executadas.
  • Monitoramento e melhoria contínua
    • É rastreada a postura de segurança, melhorias contínuas conforme necessário e processo iterativo.
Este Framework é uma ferramenta flexível que se adapta às necessidades de qualquer organização, independentemente da sua dimensão, setor ou complexidade. O processo de implementação varia de acordo com a organização, mas os princípios da estrutura podem ser aplicados em qualquer contexto para melhorar a postura de segurança.

Versão 2

O NIST iniciou o processo de atualização do CSF, desde 2018 temos sua versão 1.1. Nesta nova atualização 2.0, o trabalho está sendo feito na evolução das ameaças, mapeando os padrões e visando um formato mais simples para permitir que as organizações lidem com os riscos.

Nesse processo, novamente, conta ativamente com o feedback das partes interessadas (Comunidade, indústria, academia) e buscando opiniões diversas no processo de atualização.


Atividades propostas e realizadas no âmbito da atualização

Entre as ideias partilhadas durante o 2º Workshop e também no concept paper da nova versão (publicado aqui ) estas são algumas das possíveis mudanças na nova versão:

⦁ Reconhecer explicitamente o amplo uso do CSF

Sabendo da larga utilização e relevância que este enquadramento tem tido nos últimos anos, pretende-se fazer uma mudança de enfoque nas organizações a que se dirige. Desde a mudança de titularidade, mudança de âmbito para não só abranger infraestruturas críticas ou um determinado mercado, mas para todo o tipo de organizações independentemente da sua tipologia ou dimensão.

Da mesma forma, pretende-se aumentar a colaboração e o compromisso internacional com o quadro.


⦁ Funciona como um framework, fornecendo contexto e conexões com padrões e recursos existentes.

Para a versão 2.0 do CSF, não apenas o nível de detalhamento será mantido, mas também a ênfase será colocada em relacioná-lo claramente com outros frameworks NIST. As referências serão mantidas entre estas e outras estruturas de segurança cibernética reconhecidas, atualizadas e disponíveis online.

Como na versão atual, uma ênfase especial será colocada em manter a tecnologia e o fornecedor neutros, mas refletindo as mudanças nas práticas de segurança cibernética mais reconhecidas.


https://csrc.nist.gov/projects/olir/informative-reference-catalog


⦁ Inclui orientações atualizadas e ampliadas sobre a implementação da estrutura.

Para apoiar as organizações na introdução do framework, pretende-se adicionar exemplos de implementação para as diferentes subcategorias e do desenvolvimento de modelos de perfil.

A necessidade de melhorar o site do CSF para destacar recursos de implementação e facilidade de uso é priorizada.


https://www.nist.gov/cyberframework/getting-started


⦁ Enfatiza a importância da governança de segurança cibernética.

A fim de destacar a importância das tarefas de gestão e governança em torno de todo o processo de implementação do framework, propõe-se acrescentar uma nova Função de Governança que seja transversal. Espera-se que isso também aprimore a discussão sobre a relação com a gestão de riscos.


⦁ Destaca a importância da “Gestão de Riscos da Cadeia de Suprimentos”

Para esta nova versão, pretende-se dar especial enfoque e incorporar especificamente a gestão da cadeia de suprimento (Cybersecurity Supply Chain Risk Management ou CSRC), adicionando subcategorias ou categorias completas que a incluam.

⦁ Avanço na compreensão da medição e avaliação da segurança cibernética.

Não é fácil para as organizações gerar medições claras em torno da segurança cibernética, esta nova versão visa esclarecer como o CSF pode apoiar a medição e avaliação dos programas de segurança cibernética implementados.

Fornecendo exemplos de medição e avaliações, atualizando o NIST Information Security Performance Measurement Guide (publicado aqui). Além de fornecer orientações sobre os vários níveis de Implementação do Framework.

Algumas conclusões
É claro que a atualização proposta para o Framework de Cibersegurança (CSF) pelo NIST tem como objetivo acompanhar a evolução das ameaças. A priorização da função de governança, a expansão da cobertura de gestão de riscos da cadeia de suprimentos impulsionada pelo foco notório dos atacantes e a importância de manter a neutralidade tecnológica e melhorar a relação entre o CSF e outros frameworks de cibersegurança foram destacadas.

Essas mudanças permitirão que organizações de diferentes setores, tipos e tamanhos implementem o CSF de maneira mais otimizada e o adaptem às suas necessidades específicas, aumentando assim a segurança de todo o ecossistema.