O Cybersecurity Framework (CSF) do National Institute of Standards and Technology (NIST) já foi tema neste portal. Na ocasião, apresentamos informações básicas sobre esse conjunto de recomendações de métodos, processos e diretrizes para estabelecer, manter e elevar a maturidade da segurança digital de uma organização.
Temos, porém, novidades importantes. Em comemoração aos 10 anos de existência, o Cybersecurity Framework NIST, que foi criado em 2014, foi aperfeiçoado com duas grandes mudanças:
1. Segurança cibernética para empresas de todos os portes e segmentos
Na versão original, o Cybersecurity Framework NIST tinha como foco organizações com notada infraestrutura crítica, como bancos, órgãos do governo e grandes empresas, sempre em alinhamento com os serviços e as ferramentas do SOC. Na versão NIST 2.0, entende-se que a cibersegurança é uma preocupação para companhias de todos os portes e segmentos. Isso se traduz em linguagens e processos de implementação mais acessíveis.
2. Governança como disciplina inegociável em segurança cibernética
Originalmente, o Cybersecurity Framework NIST recomenda cinco ações: identificar sistemas, usuários, ativos, dados e recursos; proteger dados e ambientes; detectar inconsistências; responder aos ataques; e recuperar dados e operações. Na versão NIST 2.0 inclui-se a governança, que deve estar presente em todas as ações citadas.
Perda de perímetro: o propulsor da mudança
As mudanças no Cybersecurity Framework NIST foi um movimento natural, que teve como base sugestões, percepções e informações de profissionais de segurança cibernética. Muitas dessas ideias foram impulsionadas por uma verdade indiscutível: você só defende com qualidade e eficiência o que conhece.
Na versão de 2014, a governança não era o foco porque, em geral, as organizações operavam em um perímetro pré-definido. Tudo estava no mesmo lugar: dados, estruturas, dispositivos e usuários. Hoje, porém, grande parte das companhias adotaram a nuvem como local para rodar dados e aplicações. Nesse cenário, o perímetro não existe mais e, ao operar, as ferramentas de SaaS muitas vezes criam seus próprios bancos de dados e silos, que ficam muitas vezes desprotegidos.
É nesse cenário de complexidade que a governança se torna ainda mais relevante. É preciso entender no detalhe de onde o dado vem e para onde ele vai; onde, como e por que uma aplicação roda; onde estão cada componente da infraestrutura e quem os acessa; e qual é a melhor estratégia para defender os dados nessa dinâmica. Tudo considerando as particularidades de cada negócio.
Dessa forma, a governança, que nunca foi muito bem quista, tida como uma dificultadora dos processos, é elevada ao status de primeira linha de defesa, uma necessária para a empresas interessadas não apenas em ganhar maturidade digital, como também em estar em compliance com normas e regulações de segurança cibernética.
Detectar um incidente, reagir a ele e recuperar um ambiente já não é o bastante. É preciso um plano robusto de governança, existente no Cybersecurity Framework NIST 2.0, para mitigar eventos adversos e garantir a continuidade da operação. Todos ganham com essa nova postura.
Adoraríamos conversar mais sobre isso com você. Conta como podemos te ajudar a repensar a segurança cibernética do seu negócio. Vamos agendar uma reunião?
