Convidamos o empresário e professor Bruno Fraga para nos contar as particularidades do novo NIST Cybersecurity Framework, o CSF2.0
NIST Cybersecurity Framework (CSF) 2.0: Um guia abrangente para a gestão de riscos de segurança cibernética
O NIST Cybersecurity Framework (CSF) 2.0 é um guia abrangente e voluntário desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos. O objetivo do CSF é auxiliar as organizações de todos os portes e setores a gerenciar e reduzir seus riscos de segurança cibernética.
O lançamento do NIST Cybersecurity Framework (CSF) 2.0 foi 26 de fevereiro de 2024 data que o NIST dos EUA anunciou a versão final do CSF 2.0 após um período de revisão pública que começou em agosto de 2023. A nova versão representa uma atualização significativa do CSF original, publicado em 2014, e incorpora as melhores práticas e lições aprendidas nos últimos anos.
Convidamos o empresário e professor Bruno Fraga para nos contar as particularidades do novo NIST Cybersecurity Framework, o CSF2.0.
Crypto ID: Qual é a relevância do NIST Cybersecurity Framework (CSF) 2.0 para a comunidade de segurança da informação?
Bruno Fraga: Eu sempre digo que a cibersegurança de uma empresa não deve depender exclusivamente de indivíduos excepcionalmente talentosos; ao invés disso, necessitamos de frameworks e protocolos que possam ser implementados por profissionais em variados contextos organizacionais e momentos profissionais.
Nesse sentido, o NIST CSF 2.0 desempenha um papel crucial, oferecendo um conjunto de diretrizes e práticas atualizadas, que podem ser replicadas por profissionais de segurança da informação em diferentes empresas e ambientes.
Crypto ID: Existem desafios na implementação do CSF 2.0 em empresas de diferentes portes e maturidades em segurança cibernética?
Bruno Fraga: Certamente, existem desafios que variam conforme o porte e a maturidade em segurança cibernética de cada empresa.
Bruno Fraga: Pequenas e médias empresas, por exemplo, podem se deparar com limitações significativas em termos de recursos financeiros e conhecimento técnico especializado. Por outro lado, organizações de maior porte podem enfrentar dificuldades na integração do CSF 2.0 com seus processos e sistemas preexistentes, especialmente se estes foram estabelecidos muito antes da adoção do framework.
Crypto ID: Como as empresas podem personalizar o CSF 2.0 para atender às suas necessidades e prioridades específicas?
Bruno Fraga: O CSF 2.0 traz uma maior flexibilidade para se adaptar a diversos cenários e modelos de negócios. Por exemplo, uma pequena empresa do setor varejista pode utilizar o CSF 2.0 para focar inicialmente na proteção de dados de clientes e sistemas de ponto de venda, ajustando a aplicação das práticas recomendadas às suas capacidades e aos riscos mais críticos.
Crypto ID: O CSF 2.0 se integra à outras estruturas de gerenciamento de riscos e frameworks de segurança cibernética já utilizados pelas empresas?
Bruno Fraga: O CSF 2.0 é projetado para se alinhar e complementar outras estruturas de gerenciamento de riscos e frameworks, como a ISO/IEC 27001, a COBIT, e a ITIL.Uma empresa que segue a ISO/IEC 27001 para gestão da segurança da informação pode integrar o CSF 2.0 para reforçar sua abordagem de identificação e proteção contra riscos cibernéticos, garantindo uma cobertura mais ampla e uma resposta mais eficaz aos incidentes.
Crypto ID: O CSF 2.0 pode ajudar as empresas a simplificarem seus programas de segurança cibernética?
Bruno Fraga: Definitivamente. Ele fornece um conjunto estruturado de diretrizes e práticas, ele ajuda as organizações a priorizar suas iniciativas de segurança e alocar recursos de maneira mais eficiente.Além disso, a adoção do CSF 2.0 desde as fases iniciais do desenvolvimento de sistemas e processos pode prevenir a necessidade de investimentos adicionais futuros e a criação de soluções improvisadas (“gambiarras”) para corrigir vulnerabilidades que poderiam ter sido evitadas.
Crypto ID: Quais são as principais melhorias e novas funcionalidades introduzidas no CSF 2.0 em comparação com a versão original de 2014?
Bruno Fraga: Com sua última atualização, o CSF 2.0 apresenta uma estrutura mais flexível e adaptável, para facilitar a aplicação em diferentes setores e tamanhos de organizações.Acredito que o objetivo seja possibilitar às empresas, independentemente de seu porte, o exercício de identificar, proteger, detectar, responder e recuperar de incidentes cibernéticos, reforçando a ideia de que a cibersegurança é um direito essencial de pequenas, médias e grandes empresas.
Crypto ID: Como essas mudanças podem ajudar as empresas a lidarem com os desafios emergentes da segurança cibernética? O CSF 2.0 abrange todos os setores da indústria de segurança da informação?
Bruno Fraga: Fornecendo diretrizes atualizadas que consideram o cenário de ameaças em constante evolução. Além disso, a flexibilidade e adaptabilidade do framework garantem sua aplicabilidade em todos os setores da indústria de segurança da informação.
Crypto ID: Quais são as principais insights e perspectivas do Bruno Fraga sobre o CSF 2.0 e sua relevância para o futuro da segurança da informação?
Bruno Fraga: O CSF 2.0 é um divisor de águas na segurança da informação. Não é mais sobre ter um ‘gênio’ isolado para garantir a segurança; é sobre implementar um sistema robusto, acessível e escalável que qualquer organização possa seguir.
O que aprecio na atualização é a universalidade – se encaixa em qualquer tamanho de empresa, e sua flexibilidade para se integrar a outros frameworks amplia ainda mais seu valor. Estamos olhando para o futuro da segurança da informação, onde a adaptação e a integração são essenciais para manter a frente dos desafios cibernéticos que mudam diariamente.
Crypto ID: Para terminar, que dicas e conselhos você teria para oferecer para as empresas que desejam implementar o CSF 2.0 com sucesso?
Bruno Fraga: Eu levanto a bandeira de que a segurança cibernética não deve ser um luxo reservado apenas às grandes corporações; é fundamental que pequenas empresas também estejam protegidas.
De nada adianta uma matriz investir alto em proteção e implementação de segurança se uma filial ou franquia acabar vazando os dados e credenciais do sistema.
É essencial que todos estejam igualmente protegidos, mesmo que com poderes aquisitivos diferentes.
Aqui vão três dicas focadas em pequenas empresas:
Comece pelo Básico: Priorize as ações que trazem maior impacto com o menor investimento inicial. Isso pode incluir a implementação de autenticação de dois fatores (2FA) para acesso a sistemas críticos, garantindo que todas as senhas sejam fortes e únicas, e estabelecendo políticas de backup regulares para proteger contra perda de dados.
Capacitação e Conscientização: Uma das maiores vulnerabilidades das pequenas empresas é a falta de conhecimento sobre práticas básicas de segurança cibernética. Investir em treinamento para seus funcionários pode prevenir muitos ataques comuns, como phishing e malware. Aproveite recursos gratuitos ou de baixo custo disponíveis online para educar sua equipe. O próprio NIST oferece guias e materiais educativos que podem ser muito úteis.
Adapte o Framework à sua Realidade: O CSF 2.0 é flexível e pode ser adaptado à realidade e às necessidades específicas de cada pequena empresa. Comece identificando os ativos mais críticos e as ameaças mais prováveis e aplique os controles do framework que se alinham a essas prioridades. Não é necessário implementar todas as recomendações de uma vez; foque nas áreas de maior risco e vá expandindo conforme a capacidade de sua empresa. Utilize as cinco funções do CSF (Identificar, Proteger, Detectar, Responder e Recuperar) como um guia para desenvolver um plano de ação focado.
Sobre Bruno Fraga, Hustle beats talent, when talent doesn’t hustle. CEO do Grupo Fragax Tecnologia, Criador do Técnicas de Invasão e do Hacker Investigador. Empresário, Especialista em Segurança da Informação, Hacker, Professor.
Entenda os principais pontos da nova legislação da União Europeia, que regulamenta o uso de IA
