NIST Cyber Security Framework 2.0
Lançado em fevereiro de 2014, o framework de cyber segurança do instituto nacional padrões e tecnologias -NIST - tem o intuito de ajudar a instituições a implementar medidas para combater ameaças cibernéticas.
Com a constante evolução das ameaças, tecnologias e procedimentos adotados pelos agentes de ameaças, foi necessário realizar à atualização do framework, que teve o seu lançamento em 2024 para versão 2.0
Abaixo as principais mudanças que conseguimos verificar nessa nova versão:
Adição da Função Governar.
Esta é uma das alterações mais significativas do NIST CSF 2.0. A função Governar, foi adicionada como uma sexta função central ao framework, posicionando-se de forma a influenciar a implementação das outras cinco funções já existentes: Identificar, Proteger, Detectar, Responder e Recuperar. A inclusão desta função destaca a importância da governança na cibersegurança, sublinhando a necessidade de estabelecer e monitorar a estratégia de gestão de riscos de cibersegurança, as expectativas e as políticas em nível organizacional. Isso reflete uma mudança para enfatizar o papel da liderança executiva e dos stakeholders na promoção de uma cultura de cyber segurança robusta dentro das organizações.
Ampliação do Escopo.
O CSF 2.0 expande seu escopo para abranger uma variedade mais ampla de organizações, não limitando sua aplicabilidade apenas às organizações de infraestrutura crítica. Este ajuste reflete a adoção do framework por diversos setores, buscando fornecer uma estrutura sólida para o gerenciamento de riscos cibernéticos em um contexto global. Essa mudança é acompanhada pela redefinição do título do documento para “Cybersecurity Framework”, simplificando sua identificação e alinhando-o mais estreitamente com seu uso e aplicação prática em uma escala mundial.
Ênfase na Gestão de Riscos da Cadeia de Suprimentos.
Uma crítica frequente às versões anteriores do CSF era a falta de diretrizes detalhadas sobre a gestão de riscos da cadeia de suprimentos. O CSF 2.0 aborda essa lacuna incorporando a gestão de riscos da cadeia de suprimentos de forma mais explícita, especialmente na nova função Governar. Isso inclui o desenvolvimento de um programa eficaz e a designação de papéis e responsabilidades claras para gerenciar esses riscos. Além disso, há uma orientação para integrar a consideração dos riscos da cadeia de suprimentos em todas as funções do framework, promovendo uma abordagem holística e mais robusta ao gerenciamento desses riscos.
Reajuste de Categorias e Subcategorias.
O NIST CSF 2.0 também passou por um realinhamento de suas categorias e subcategorias para refletir melhor as necessidades e desafios atuais de cyber segurança. Algumas categorias foram renomeadas, reorganizadas ou removidas, enquanto novas foram adicionadas, como Segurança da Plataforma e Resiliência da Infraestrutura Tecnológica. Esse realinhamento visa facilitar a compreensão e a aplicação do framework, garantindo que ele permaneça relevante diante das evoluções do cenário de ameaças e das práticas de cyber segurança. A mudança mais notável dentro dessa revisão é a movimentação da gestão de riscos da cadeia de suprimentos para a nova função Governar, ressaltando a importância dessa área dentro da estratégia geral de cyber segurança de uma organização.
Essas mudanças no NIST CSF 2.0 refletem um esforço para tornar o framework mais acessível, relevante e aplicável a um espectro mais amplo de organizações, enfatizando a importância da governança na cyber segurança, a necessidade de uma abordagem global ao gerenciamento de riscos e a integração da gestão de riscos da cadeia de suprimentos nas práticas de segurança.
