Para antecipar o futuro e tentar garantir a utilidade da ferramenta para os mais variados segmentos, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA atualizou o seu cybersecurity framework (CSF) lançando a versão 2.0. É a primeira reformulação completa da abordagem sistêmica da agência para a gestão dos riscos de segurança, desde o seu lançamento, há quase uma década. Até 4 de novembro o draft está aberto para comentários e a previsão é que o texto final seja publicado no início de 2024.
Referência no tema, o NIST CSF consiste em padrões, diretrizes e práticas recomendadas para ajudar as organizações a implementar e aprimorar as posturas de segurança cibernética. Enquanto a primeira versão da metodologia tinha como foco a avaliação qualitativa dos riscos de infraestruturas críticas, como hospitais e companhias de energia, a atualização destaca a importância da medição quantitativa para compreender as probabilidades e os impactos dos eventos de segurança, ampliando o escopo de aplicação para corporações de uma forma geral.
A quantificação possibilita o gerenciamento do risco cibernético baseado em dados, melhor comunicação com a liderança e tomada de decisões apoiada em informações. Fornece, ainda, medições objetivas de risco, possibilitando a definição de limites de tolerância, priorização, correlação com gastos e redução dos riscos ao longo do tempo.
Outra novidade é que os protocolos de segurança de melhores práticas ganharam uma sexta função, de governança (que abrange a forma como a organização deve executar suas decisões internas), que se soma às cinco estabelecidas anteriormente: identificar, proteger, detectar, responder e recuperar, essenciais para a construção dos pilares de um programa de cibersegurança bem-sucedido. A medida enfatiza o fato de a segurança digital ser uma fonte importante de risco empresarial, ao lado das questões legais e financeiras, e serve de alerta para as lideranças.
A metodologia NIST CSF provém, ainda, um guia passo a passo para criação de um programa de gerenciamento de riscos de segurança cibernética, com exemplos de framework para situações específicas, além de garantir uma linguagem comum e uma metodologia sistemática para gerir o risco em todos os setores, facilitando a comunicação entre o pessoal técnico e não técnico. O processo envolve a priorização e definição do escopo, condução de uma avaliação de risco, análise e priorização de lacunas, além da implementação efetiva do plano de ação.
Outro objetivo da versão 2.0 é explicar como as organizações podem aproveitar as estruturas de tecnologia, padrões e diretrizes, seja do NIST ou de outras fontes, para implementar um plano de segurança. A ferramenta disponibiliza recursos on-line para pesquisa e exportação de dados em formatos manual e automatizado.
Muitas organizações ainda não têm um plano de resposta a incidentes cibernéticos ou não realizam testes regularmente. Outras não comunicam adequadamente os incidentes de segurança, o que pode levar a danos à reputação e à confiança dos clientes. A detecção de ameaças digitais é um processo complexo que requer ferramentas avançadas e habilidades especializadas.
A visibilidade da superfície de ataque precisa ser uma prioridade de qualquer empresa, garantida por metodologia e ferramentas modernas capazes de correlacionar diferentes sensores e dados em tempo real, e trazer informações do que é mais crítico e vulnerável, para a equipe poder priorizar e contra-atacar. Ao promover a compreensão da medição dos riscos digitais, o NIST permite que as organizações compreendam melhor suas exposições e tomem decisões estratégicas para elevar a postura de segurança.
*Cesar Candido é diretor geral da Trend Micro no Brasil, empresa especializada em cibersegurança.