O Framework NIST CSF é um conjunto de diretrizes e práticas de cibersegurança recomendadas pela agência americana National Institute of Standards and Technology (NIST). A Estrutura de Segurança Cibernética (CSF) foi inicialmente criada para defender a infraestrutura crítica dos Estados Unidos (EUA) e as operações do Departamento de Defesa (DoD). Agora, a CSF está disponível para qualquer organização, como uma referência de práticas de cibersegurança.
Desde o seu lançamento em Fevereiro de 2014, as ameaças cibernéticas evoluíram e se tornaram mais dinâmicas, com isso foi necessária atualizações e alterações no NIST CSF para uma nova versão (2.0), que será lançada em 2024. O objetivo principal desta nova versão é trazer melhoria na governança da segurança, aumentando a responsabilidade dos envolvidos na manutenção da segurança e privacidade dos dados em uma empresa.
De maneira resumida, o NIST CSF 2.0 será dividida em seis funções principais:
Governar: tem o objetivo de trazer um foco na importância da governança e alinhamento estratégico baseado em risco corporativo, estabelecendo estratégias, expectativas e política de gestão de risco da organização.
Identificar: tem o objetivo de compreender sistemas, ativos, dados e pessoas a fim de identificar potenciais riscos de segurança cibernética.
Proteger: seu objetivo é implementar medidas para proteção contra as ameaças cibernéticas. Nessa função é onde encontramos, por exemplo, os controles de gestão de identidades e acessos.
Detectar: tem o objetivo de monitorar sistemas e ativos para detectar potenciais incidentes de segurança cibernética, por meio por exemplo da utilização de IDS (Intrusion Detection Systems).
Responder: tem o objetivo de implementar um plano de resposta a incidentes de segurança.
Recuperar: tem o objetivo de definir planos para a recuperação de desastres após um incidente de segurança.
Fonte: nist.gov
Versão 2.0, o que muda em relação a versão anterior?
Se tivermos que resumir a mudança entre as versões 1.1 e 2.0 em uma palavra, seria: “Governança”. Pois dentre as mudanças, esta é a que mais é destacada e claramente enfatizada, trazendo a perspectiva de como a governança pode ajudar na redução de riscos, contribuindo para:
Priorização e avaliação da tolerância do risco;
Avaliação de consequências;
Espaço para a criação de políticas práticas;
Reconhecimento dos papéis e responsabilidades na gestão de riscos cibernéticos;
Maior contribuição para a conformidade e auditoria;
Papel do CISO com foco maior no negócio, na perspectiva empresarial, e menos no técnico.
O NIST afirma que o objetivo do CSF versão 2.0 é “aumentar a clareza, garantir um nível consistente de abstração, abordar mudanças em tecnologias e riscos e melhorar o alinhamento com padrões e práticas de segurança cibernética nacionais e internacionais”.
Na prática, esta nova versão trará a uma nova função “Governança”, além de inúmeras adições, remoções ou modificações de funções, categorias e subcategorias em toda a estrutura do framework. Além disso, o NIST CSF também incluirá exemplos de implementação para cada subcategoria, deixando claro ações que as organizações precisam realizar para cumprir os itens descritos.
Nessa nova Função, haverá a seguinte divisão:
GOVERNANÇA (GV): Estabelecer e monitorar a estratégia, expectativas e política de gestão de risco da organização. (anteriormente ID.GV, ID.RM)
Categorias:
Contexto Organizacional (GV.OC): O contexto de risco da organização, incluindo missão, prioridades da missão, partes interessadas, objetivos e direção, deve ser compreendido (anteriormente ID.BE);
Estratégia de Gestão de Risco (GV.RM): As prioridades, restrições, tolerância ao risco, declarações de apetite dos riscos, e suposições da organização devem ser estabelecidas e usadas para apoiar decisões de risco operacional (anteriormente ID.RM);
Funções e responsabilidades (GV.RR): As funções e responsabilidades de segurança cibernética devem ser coordenadas e alinhadas com todas as partes interessadas internas e externas para permitir a responsabilização, avaliação de desempenho e melhoria contínua (anteriormente ID. GV-2);
Políticas e Procedimentos (GV.PO): políticas, processos e procedimentos organizacionais de segurança cibernética devem ser estabelecidos e comunicados (anteriormente ID.GV-1).
Em suma, estas seriam as principais mudanças no NIST 2.0:
Inserção de uma nova Função de Governança, com foco na estratégia e política de segurança cibernética;
Amplia a orientação sobre segurança cibernética, gestão de riscos da cadeia de suprimentos;
Fornece mais orientações sobre medir os resultados da segurança;
Enfatiza a integração da gestão de riscos de segurança com a gestão de riscos organizacionais;
Remoção de Funções separadas de Detecção e Resposta, mesclando algumas atividades em outras Funções;
Inclusão de exemplos de implementação nas subcategorias, fornecendo orientação para as ações necessárias;
Alinhamento do CSF com outras diretrizes do NIST e privacidade de dados, como por exemplo o Privacy Framework.
O que muda na versão 2 para IAM?
Em se tratando de IAM, o NIST CSF 2.0 traz a ênfase na governança da segurança e algumas mudanças:
Enfatiza contexto de interações no acesso (PR.AA-02);
Enfatiza o uso de enforcement de políticas de IAM (PR.AA-05 e PR.AA-07);
Deixa mais evidente a necessidade de monitoramento e auditoria de atividades de contas e eventos de acessos (PR.AA-06);
Inclui a subcategoria de proteção de dados (assertions) de federação de acessos, visto que os assertions possui informações de atributos de autenticação (PR.AA-04);
Mudança da sigla das subcategorias de AC para AA.
O NIST CSF 2.0 contribui com a Governança de Identidade e Acessos, o que torna mais evidente e relevante a importância da implementação dos processos e princípios de IAM, além de tornar mais notória a utilização de tecnologias para esta governança, como por exemplo o auxílio através do uso do Identity Governance and Administration (IGA).
Vale destacar que o NIST CSF 2.0 está ainda no rascunho, portanto poderá haver mudanças para o seu lançamento em 2024.
Para consultar os detalhes na íntegra, consulte:
Comments