O NIST Lança uma Versão Expandida 2.0 do Landmark Cybersecurity Framework para Ajudar Críticas Organizações de Infraestrutura

O Instituto Nacional de Padrões e Tecnologia (NIST) lançou a versão 2.0 de sua Estrutura de Segurança Cibernética (CSF), marcando um marco importante na estratégia de segurança cibernética. Originalmente adaptado para organizações de infra-estruturas críticas, o CSF obteve uma adopção generalizada para além do seu âmbito pretendido, levando o NIST a melhorar a sua aplicabilidade em diversos sectores e tamanhos organizacionais. O quadro atualizado, baseado nos comentários sobre o seu projeto, expande as orientações principais e introduz a função crucial de “Governar”, colmatando lacunas na gestão de riscos.

A nova estrutura, que não é atualizada há cerca de 10 anos, chega num momento crítico em que as organizações de infraestrutura crítica enfrentam graves ataques cibernéticos que podem paralisar as funções diárias em muitas facetas da vida. Alguns ataques desenraizaram operações de cuidados intensivos em grupos de saúde e em muitas outras indústrias, que o novo quadro pretende ajudar a impedir.

Robert Booker, Diretor de Estratégia da HITRUST, destacou a importância da função Governar, enfatizando o seu papel fundamental na gestão de riscos no cenário da segurança cibernética. Notavelmente, o CSF 2.0 fornece aos utilizadores exemplos de implementação personalizados e guias de início rápido, facilitando a sua aplicação prática. Além disso, incorpora um catálogo pesquisável de referências, agilizando o alinhamento com mais de 50 documentos de segurança cibernética.

A diretora do NIST, Laurie E. Locascio, enfatizou a natureza dinâmica do CSF 2.0, retratando-o como um conjunto de recursos personalizáveis, adaptáveis à evolução das necessidades de segurança cibernética e das capacidades organizacionais. Katherine Ledesma, da empresa de segurança cibernética industrial Dragos, destacou as implicações da estrutura para organizações com sistemas de controle industrial (ICS) e sistemas de tecnologia operacional (TO). Ela enfatizou uma mudança de percepção, posicionando o investimento em segurança cibernética não apenas como um centro de custos, mas como um facilitador estratégico para operações comerciais, especialmente crítico para setores como manufatura e serviços públicos.

Ledesma também enfatizou a importância de distinguir entre ambientes de TI e TO dentro da estrutura do CSF, prevendo uma abordagem diferenciada para proteger os sistemas ICS/TO. Ela enfatizou a necessidade de atualizações contínuas e orientação especializada para abordar os riscos únicos associados a esses sistemas, defendendo a integração de considerações específicas de TO em documentos de orientação e planejamento de segurança cibernética mais amplos.

No geral, o lançamento do CSF 2.0 marca um avanço significativo na estratégia de segurança cibernética, oferecendo uma estrutura abrangente adaptável a diversos contextos organizacionais e enfatizando o papel crítico da segurança cibernética no apoio à resiliência e continuidade dos negócios.