top of page
Foto do escritorDavi Albergaria

NIST 2.0, o que mudará? Como afetará IAM?



O Framework NIST CSF é um conjunto de diretrizes e práticas de cibersegurança recomendadas pela agência americana National Institute of Standards and Technology (NIST). A Estrutura de Segurança Cibernética (CSF) foi inicialmente criada para defender a infraestrutura crítica dos Estados Unidos (EUA) e as operações do Departamento de Defesa (DoD). Agora, a CSF está disponível para qualquer organização, como uma referência de práticas de cibersegurança.


Desde o seu lançamento em Fevereiro de 2014, as ameaças cibernéticas evoluíram e se tornaram mais dinâmicas, com isso foi necessária atualizações e alterações no NIST CSF para uma nova versão (2.0), que será lançada em 2024. O objetivo principal desta nova versão é trazer melhoria na governança da segurança, aumentando a responsabilidade dos envolvidos na manutenção da segurança e privacidade dos dados em uma empresa.


De maneira resumida, o NIST CSF 2.0 será dividida em seis funções principais:

  1. Governar: tem o objetivo de trazer um foco na importância da governança e alinhamento estratégico baseado em risco corporativo, estabelecendo estratégias, expectativas e política de gestão de risco da organização.

  2. Identificar: tem o objetivo de compreender sistemas, ativos, dados e pessoas a fim de identificar potenciais riscos de segurança cibernética.

  3. Proteger: seu objetivo é implementar medidas para proteção contra as ameaças cibernéticas. Nessa função é onde encontramos, por exemplo, os controles de gestão de identidades e acessos.

  4. Detectar: tem o objetivo de monitorar sistemas e ativos para detectar potenciais incidentes de segurança cibernética, por meio por exemplo da utilização de IDS (Intrusion Detection Systems).

  5. Responder: tem o objetivo de implementar um plano de resposta a incidentes de segurança.

  6. Recuperar: tem o objetivo de definir planos para a recuperação de desastres após um incidente de segurança.


Fonte: nist.gov


Versão 2.0, o que muda em relação a versão anterior?

Se tivermos que resumir a mudança entre as versões 1.1 e 2.0 em uma palavra, seria: “Governança”. Pois dentre as mudanças, esta é a que mais é destacada e claramente enfatizada, trazendo a perspectiva de como a governança pode ajudar na redução de riscos, contribuindo para:

  • Priorização e avaliação da tolerância do risco;

  • Avaliação de consequências;

  • Espaço para a criação de políticas práticas;

  • Reconhecimento dos papéis e responsabilidades na gestão de riscos cibernéticos;

  • Maior contribuição para a conformidade e auditoria;

  • Papel do CISO com foco maior no negócio, na perspectiva empresarial, e menos no técnico.


O NIST afirma que o objetivo do CSF versão 2.0 é “aumentar a clareza, garantir um nível consistente de abstração, abordar mudanças em tecnologias e riscos e melhorar o alinhamento com padrões e práticas de segurança cibernética nacionais e internacionais”.


Na prática, esta nova versão trará a uma nova função “Governança”, além de inúmeras adições, remoções ou modificações de funções, categorias e subcategorias em toda a estrutura do framework. Além disso, o NIST CSF também incluirá exemplos de implementação para cada subcategoria, deixando claro ações que as organizações precisam realizar para cumprir os itens descritos.


Nessa nova Função, haverá a seguinte divisão:


GOVERNANÇA (GV): Estabelecer e monitorar a estratégia, expectativas e política de gestão de risco da organização. (anteriormente ID.GV, ID.RM)


Categorias:

  • Contexto Organizacional (GV.OC): O contexto de risco da organização, incluindo missão, prioridades da missão, partes interessadas, objetivos e direção, deve ser compreendido (anteriormente ID.BE);

  • Estratégia de Gestão de Risco (GV.RM): As prioridades, restrições, tolerância ao risco, declarações de apetite dos riscos, e suposições da organização devem ser estabelecidas e usadas para apoiar decisões de risco operacional (anteriormente ID.RM);

  • Funções e responsabilidades (GV.RR): As funções e responsabilidades de segurança cibernética devem ser coordenadas e alinhadas com todas as partes interessadas internas e externas para permitir a responsabilização, avaliação de desempenho e melhoria contínua (anteriormente ID. GV-2);

  • Políticas e Procedimentos (GV.PO): políticas, processos e procedimentos organizacionais de segurança cibernética devem ser estabelecidos e comunicados (anteriormente ID.GV-1).


Em suma, estas seriam as principais mudanças no NIST 2.0:

  • Inserção de uma nova Função de Governança, com foco na estratégia e política de segurança cibernética;

  • Amplia a orientação sobre segurança cibernética, gestão de riscos da cadeia de suprimentos;

  • Fornece mais orientações sobre medir os resultados da segurança;

  • Enfatiza a integração da gestão de riscos de segurança com a gestão de riscos organizacionais;

  • Remoção de Funções separadas de Detecção e Resposta, mesclando algumas atividades em outras Funções;

  • Inclusão de exemplos de implementação nas subcategorias, fornecendo orientação para as ações necessárias;

  • Alinhamento do CSF com outras diretrizes do NIST e privacidade de dados, como por exemplo o Privacy Framework.




O que muda na versão 2 para IAM?


Em se tratando de IAM, o NIST CSF 2.0 traz a ênfase na governança da segurança e algumas mudanças:

  • Enfatiza contexto de interações no acesso (PR.AA-02);

  • Enfatiza o uso de enforcement de políticas de IAM (PR.AA-05 e PR.AA-07);

  • Deixa mais evidente a necessidade de monitoramento e auditoria de atividades de contas e eventos de acessos (PR.AA-06);

  • Inclui a subcategoria de proteção de dados (assertions) de federação de acessos, visto que os assertions possui informações de atributos de autenticação (PR.AA-04);

  • Mudança da sigla das subcategorias de AC para AA.


O NIST CSF 2.0 contribui com a Governança de Identidade e Acessos, o que torna mais evidente e relevante a importância da implementação dos processos e princípios de IAM, além de tornar mais notória a utilização de tecnologias para esta governança, como por exemplo o auxílio através do uso do Identity Governance and Administration (IGA).


Vale destacar que o NIST CSF 2.0 está ainda no rascunho, portanto poderá haver mudanças para o seu lançamento em 2024.


Para consultar os detalhes na íntegra, consulte:


​​

0 comentário

Comments


bottom of page