Cerca de 7.000 participantes do workshop internacional ouviram discussões sobre o plano do NIST de atualizar sua estrutura de segurança cibernética para incorporar mais orientações sobre segurança, medição e implementação da cadeia de suprimentos, entre outros tópicos.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) sediou ontem seu primeiro workshop sobre o Cybersecurity Framework (CSF) 2.0, uma atualização do CSF 1.1 lançada em 2018, que era uma atualização do CSF original lançado em 2014. Profissionais e alguns especialistas do NIST consideram a estrutura a “pedra de Roseta” para gerenciar os riscos de segurança cibernética de todas as organizações.
Indo para o workshop, o NIST emitiu um pedido de informações, pedindo aos comentadores que respondessem a perguntas sobre como atualizar o CSF em alguns desenvolvimentos emergentes que foram apenas parcialmente cobertos nas duas primeiras versões ou não referenciados. Os comentários enviados ao NIST refletiram uma ampla gama de considerações, incentivando o NIST a fazer várias melhorias, incluindo uma maior ênfase nas medições e métricas relacionadas ao CSF, reforçando as seções de segurança da cadeia de suprimentos e oferecendo mais orientações de implementação sobre como adotar a estrutura. No geral, os comentaristas elogiaram o esforço como válido e valioso.
Este primeiro workshop sobre CFS 2.0, que foi realizado virtualmente e contou com a participação de 7.000 participantes globais, abordou seis tópicos: uma discussão geral de como deve ser o CSF 2.0, lições aprendidas com o desenvolvimento de perfis que fazem parte do framework, uso internacional da estrutura e seu alinhamento com padrões não americanos, questões de governança, medição e avaliação e considerações da cadeia de suprimentos.
O CSF resistiu
Nos últimos nove anos desde o lançamento do CSF 1.0, “Vimos três administrações presidenciais, avanços em inteligência artificial e outras tecnologias. Demonstramos resiliência contra uma pandemia global”, Cheri Pascoe, consultora sênior de políticas de tecnologia do NIST, disse no início do workshop. “E, no entanto, com tudo o que mudou, o CSF resistiu.”
“Nós do NIST ficamos entusiasmados com o impacto que a estrutura teve na segurança cibernética e o papel que ela desempenhou”, disse Laurie E. Locascio, subsecretária de comércio para padrões e tecnologia do NIST. “Ela realmente se tornou fundamental para avaliar os riscos de segurança cibernética de uma organização, seu status e suas necessidades. A estrutura está sendo usada em todos os setores e discutida na sala do servidor e na sala da diretoria.”
“A estrutura original do NIST era tanto para reformular a doutrina quanto para coletar e organizar os detalhes da prática contemporânea”, disse Chris Inglis, diretor nacional de cibernética do Gabinete Executivo do Presidente. “A doutrina original introduziu a premissa de que podemos e devemos determinar o uso pretendido de um sistema, suas características essenciais, antecipadamente para que possamos ser mais capazes de entregar e sustentar essas características. A iniciativa que estamos lançando hoje baseia-se nessas melhores práticas enquanto reforça os esforços coletivos que irão sustentá-los e fortalecê-los no futuro.”
“Há dois futuros cibernéticos disponíveis para nós”, disse Inglis. “O primeiro pode ser resumido em uma palavra, que é ‘bom’. O segundo pode ser resumido em duas palavras como ‘não é bom’. A escolha entre esses dois é apenas isso, uma escolha. investimentos necessários para entregar o ciberespaço, a infraestrutura digital, a internet de tudo que atenda às nossas aspirações, que entregue a resiliência nas atividades, as características que darão a confiança de que essas aspirações serão bem atendidas.”
O workshop de um dia inteiro concentrou-se em vários tópicos complexos e de alto perfil levantados no RFI. Dois painéis, particularmente questões e medições internacionais, merecem um pouco mais de atenção porque capturaram pouca atenção em comparação com os tópicos mais conhecidos, como segurança da cadeia de suprimentos.
A comunidade internacional abraçou o QCA
A popularidade global do CSF é demonstrada por sua tradução em nove idiomas até o momento e um crescente nível de interesse internacional em como a estrutura pode ajudar. Leonard Hause, do novo Bureau of Cyberspace do Departamento de Estado, que também trabalhou com o escritório de coordenação cibernética do departamento, disse: “Nós viajamos pelo mundo e a estrutura de segurança cibernética tem sido extremamente popular em muitos de nossos compromissos internacionais. “
Kerry-Ann Barrett, gerente do programa de segurança cibernética de duas secretarias da Organização dos Estados Americanos, disse que o CSF está viajando pela América Latina e Caribe. “Encorajamos nossos estados membros como parte de sua estratégia nacional de segurança cibernética a pensar em uma estrutura de segurança cibernética em todo o governo que possa realmente apoiar a implementação da identificação de padrões à medida que fazem seus planos de proteção de currículo e infraestrutura”.
Wen Kwan, diretor sênior de Resiliência de TIC, Inovação, Segurança e Desenvolvimento Econômico do Governo do Canadá, disse que a linguagem comum que o CSF fornece ajudou seu país a delinear ameaças e vulnerabilidades de risco. “Tem sido uma grande referência para nós, e também achamos que está indo na direção certa. Ouvimos muitos comentários positivos de pequenas empresas canadenses, especialmente. As pessoas conseguiram aumentar sua postura de segurança cibernética por causa da segurança cibernética estrutura.”
Laura Lindsay, estrategista de padrões de segurança cibernética da Microsoft, ajudou a aumentar a adoção internacional dos conceitos inerentes ao CSF, como categorias, níveis e perfis. “Tivemos muita sorte em fazer isso na ISO [Organização Internacional para Padronização]”, disse ela. “Então, quando as pessoas estão começando a falar sobre novos padrões de segurança cibernética, sou capaz de apontá-las de volta à estrutura e dizer: ‘Ei, você já olhou para isso?'”
Medição e avaliação

O uso do NIST CSF para medir e avaliar a segurança cibernética tem sido muito discutido e debatido. Khalid Hasan, gerente sênior de auditorias de tecnologia da informação, Gabinete do Inspetor Geral do Conselho de Governadores do Federal Reserve Board e do Consumer Financial Protection Bureau, disse que seus grupos estão usando o CSF para avaliar a eficácia do programa de segurança da informação de uma agência porque ele fornece pontos de discussão comuns aos quais as pessoas podem se referir. “É uma boa maneira de fornecer maturidade ou eficácia em um nível de programa, mas depois mapeá-lo realmente para controles individuais”, disse ele.
Kelly Hood, vice-presidente executiva e engenheira de segurança cibernética da Optic Cyber Solutions, disse que seu grupo usa o CSF “para definir nossos recursos de segurança cibernética. Temos um perfil para nos ajudar a definir o que fazemos e depois medir nossa eficácia”.
Alicia Clay Jones, gerente de política e desempenho da Entergy Services, disse que seu grupo usa o CSF para medir seu programa de segurança. “Examinamos a lista abrangente das categorias e os objetivos de segurança e dizemos: ‘Como estamos indo bem nesses’? Analisamos nossos ambientes ou analisamos a postura de segurança ou a maturidade de nossos diferentes ambientes de negócios. Em seguida, usamos para planejamento estratégico e tático.”
Reações ao workshop do CSF
Com base no feedback do canal do Slack que o NIST estabeleceu para lidar com comentários e perguntas durante o workshop, a maioria dos participantes achou essa primeira rodada de discussão sobre a criação do CSF 2.0 informativa e útil. Russell Eubanks, que participou do desenvolvimento do CSF 1.0 em nome da Cox Communications e agora dirige sua própria empresa, Security Ever After, fica nostálgico sobre a primeira rodada de workshops do NIST na criação do CSF 1.0, mas diz que acha que o workshop virtual do NIST sobre 2.0 foi a par com aqueles. “O método deles de trazer todo mundo e dar a eles a oportunidade de expressar suas opiniões. Eu acho isso incrível”, disse ele ao CSO.
Jay Gallman, analista de TI de risco e conformidade da Duke University, diz ao CSO: “Acho que foi bom do ponto de vista de que é útil ver o que os outros estão enfrentando. E, nesse sentido, gosto mais de um workshop virtual porque acho que com algo como o canal Slack, você tem a capacidade de ouvir muito mais sobre com o que os outros estão lidando e sobre o que os outros estão fazendo perguntas.”
Alguns participantes sugeriram espaço para melhorias, principalmente ao fornecer orientações de implementações mais claras para detalhar as etapas que as organizações podem seguir ao adotar a estrutura. “Como disse Tony Sager [evangelista chefe do Centro de Segurança na Internet], não sofremos com a falta de uma lista de coisas boas para fazer”, diz Eubanks, acrescentando que o NIST pode ajudar a diminuir o desafio oferecendo orientações mais práticas .
Embora os representantes do NIST tenham apontado para recursos durante o workshop que publicaram na web que alegam oferecer o tipo de orientação que Eubanks e outros buscam, Eubanks diz: “Talvez seja o segredo mais bem guardado”.
Gallman diz: “Há uma riqueza de informações por aí e muitas delas on-line e muitas delas acessíveis gratuitamente. O problema é que não é bem coordenado. Então, você precisa conhecer alguém que saiba algo para saber onde algo está”.
Jeff Sauntry, fundador e CEO da Risk Neutral, uma empresa que ajuda os membros do conselho a entender seus riscos de segurança cibernética e impacto financeiro, diz que o modelo do CSO NIST é o que você deve fazer, mas não como fazê-lo.” Mas o NIST deveria “fazer referência a coisas mais prescritas que poderiam ajudar a comunidade a colocar isso em prática. Isso acontece no mundo real.”
Fonte: www.csoonline.com