Quatro anos após o lançamento da iteração inicial, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) lançou a versão 1.1 do Framework for Improving Critical Infrastructure Cybersecurity.
Nota do Editor: o NIST é um órgão do governo americano responsável pelo desenvolvimento de padrões de tecnologia e está lançando atualização de seu framework de cibersegurança, o Cybersecurity Framework, para lidar com ameaças da cadeia de fornecimento, divulgação de vulnerabilidades e muito mais.
O framework foi desenvolvido para ser uma estrutura voluntária baseada em riscos para melhorar a segurança cibernética para infraestrutura crítica nos Estados Unidos. É o resultado de uma ordem executiva do presidente Obama pedindo o desenvolvimento de um conjunto de padrões, diretrizes e práticas para ajudar as organizações encarregadas de prover os sistemas financeiros, de energia, saúde e outros sistemas críticos do país a proteger melhor suas informações e ativos físicos de ataques cibernéticos.
Como na primeira versão, a versão 1.1 do framework foi criada por meio de colaboração público-privada através de uma série de recomendações, rascunhos e períodos de comentários. As mudanças na versão 1.1 incluem atualizações sobre autenticação e identidade, autoavaliação do risco de cibersegurança, gerenciamento da segurança cibernética na cadeia de suprimentos e divulgação de vulnerabilidades, entre outras alterações.
Por um lado, a atualização renomeou a categoria de Access Control para Identity Management and Access Control para melhor contabilizar autenticação, autorização e prova de identidade.
Ele também adicionou uma nova seção: “Section 4.0 Self-Assessing Cybersecurity Risk with the Framework”, que explica como o framework pode ser usada pelas organizações para entender e avaliar seu risco de segurança cibernética, incluindo o uso de medições.
No front da cadeia de suprimentos, a Seção 3.3 foi expandida visando ajudar os usuários a entender melhor o gerenciamento de riscos nessa área, enquanto uma nova seção (3.4) foca nas decisões de compra e no uso da estrutura na compreensão do risco associado a produtos comerciais prontos para uso e serviços. Critérios adicionais de gerenciamento de risco foram adicionados aos níveis de Implementation Tiers para a estrutura; e uma categoria de gerenciamento de risco da cadeia de suprimentos foi adicionada ao Framework Core.
Outras atualizações incluem uma melhor explicação da relação entre Implementation Tiers e Profiles; acrescentou clareza em torno do termo “compliance”, dada a variedade de maneiras pelas quais a estrutura pode ser usada por uma organização; e a adição de uma subcategoria relacionada ao ciclo de vida da divulgação de vulnerabilidades.
“Esta atualização refina, esclarece e aprimora a versão 1.0”, disse Matt Barrett, gerente de programa do Cybersecurity Framework. “Ainda é flexível atender à missão ou necessidades individuais da organização e se aplica a uma ampla gama de ambientes de tecnologia, como tecnologia da informação, sistemas de controle industrial e Internet das Coisas (IoT)”.
Seu objetivo é ser flexível o suficiente para ser adotado voluntariamente por grandes e pequenas empresas e organizações em todos os setores da indústria, bem como pelos governos federal, estadual e local.
“O lançamento do Cybersecurity Framework Versão 1.1 é um avanço significativo que reflete verdadeiramente o sucesso do modelo público-privado para enfrentar os desafios da segurança cibernética”, disse Walter Copan, diretor do NIST. “Desde o início, o Cybersecurity Framework tem sido um esforço colaborativo envolvendo as partes interessadas do governo, indústria e academia”.
Até agora, a adoção da estrutura foi bastante difundida: na pesquisa de 2018 Global State of Information Security Survey (GSISS) da PwC, por exemplo, descobriu-se que entrevistados de healthcare payer e provider organizations, bem como companhias de petróleo e gás, disseram que o Cybersecurity Framework do NIST é o padrão de segurança da informação mais comumente adotado em seus respectivos setores. O relatório também descobriu que os clientes de instituições financeiras estavam adotando amplamente o benchmarking de seus programas de gerenciamento de riscos cibernéticos em relação ao NIST Cybersecurity Framework.
“A segurança cibernética é fundamental para a segurança nacional e econômica”, disse o Secretário de Comércio Wilbur Ross. “O Cybersecurity Framework voluntário do NIST deve ser a primeira linha de defesa de cada empresa. A adoção da versão 1.1 é obrigatória para todos os CEOs.”
Esforços para expandir sua influência continuam: em maio de 2017, o Presidente Donald Trump emitiu uma Ordem Executiva sobre o Fortalecimento da Segurança Cibernética de Redes Federais e Infraestrutura, que determina que todas as agências federais usem o Cybersecurity Framework do NIST. Além disso, corporações, organizações e países em todo o mundo, incluindo Itália, Israel e Uruguai, adotaram a estrutura, ou sua própria adaptação, observou o NIST.
Enquanto isso, para ajudar a facilitar o processo de adoção, o Fórum de Segurança da Informação (ISF) mapeou o framework e seu anual The ISF Standard of Good Practice for Information Security. No ano passado, a organização de governança de TI, ISACA, lançou um programa de auditoria alinhando a estrutura do NIST com o COBIT 5, projetado para fornecer ao gerenciamento uma avaliação da eficácia dos planos de uma organização para detectar e identificar ameaças cibernéticas e protegê-las.
“Estamos ansiosos para alcançar mais indústrias, apoiar agências federais e, especialmente, ajudar mais empresas de pequeno porte nos Estados Unidos a se beneficiarem da estrutura”, disse Barrett.
Ainda este ano, o NIST planeja lançar um novo documento atualizado, o Roadmap for Improving Critical Infrastructure Cybersecurity, descrevendo as principais áreas de desenvolvimento, alinhamento e colaboração.
“O envolvimento e a colaboração continuarão sendo essenciais para o sucesso do framework,” disse Barrett. “O Cybersecurity Framework precisará evoluir à medida que as ameaças, tecnologias e setores evoluírem. Com essa atualização, demonstramos que temos um bom processo para reunir as partes interessadas para garantir que o framework continue sendo uma excelente ferramenta para gerenciar o risco de segurança cibernética.”
Download da versão atualizada (1.1) do Framework da NIST
Para baixar a nova versão atualizada (1.1) do Framework for Improving Critical Infrastructure Cybersecurity, clique aqui.
.
.
Publicado originalmente no ThreatPost em 30 de abril de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tara Seals
Tradução por Tiago Souza
Imagem destacada deste post: jcomp / Freepik (banco de imagem)
.