Depois que sua organização formular um plano geral para lidar com os problemas de segurança cibernética e gerenciamento de riscos de privacidade, ele precisa de ferramentas específicas de última geração para tornar esse plano uma realidade. Especialistas em segurança e privacidade de computadores do Instituto Nacional de Padrões e Tecnologia (NIST) têm a resposta com uma caixa de ferramentas atualizada de salvaguardas para proteger as operações e ativos de uma organização, bem como a privacidade pessoal dos indivíduos.

Draft Special Publication (SP) NIST 800-53 Revisão 5, Controles de segurança e privacidade para organizações e sistemas de informação, é uma coleção de centenas de medidas específicas para fortalecer os sistemas, produtos e serviços componentes que fundamentam os negócios do país, governo e infraestrutura crítica. Uma das principais publicações de gerenciamento de risco do NIST, o documento passa pela primeira atualização em sete anos, e a agência está aceitando comentários públicos sobre o rascunho até 15 de maio, 2020.

A publicação oferece salvaguardas para todos os tipos de plataformas, de computadores de uso geral a sistemas de controle industrial e dispositivos de Internet das coisas (IoT). Suas ferramentas são destinadas a um amplo público de especialistas, de especialistas em segurança a desenvolvedores de sistemas e provedores de computação em nuvem.

“Nosso objetivo é tornar os sistemas de informação de que dependemos mais resistentes a ataques cibernéticos, "disse Ron Ross do NIST, um dos autores da publicação. “Queremos limitar os danos desses ataques quando eles ocorrerem, tornar os sistemas ciber-resilientes, e, ao mesmo tempo, proteger a segurança e a privacidade das informações. "

As salvaguardas, ou "controles" como são chamados no título, vêm em diferentes formas, de soluções técnicas (como criptografia) a estratégias operacionais (como planos para resposta a incidentes de ataque cibernético) a abordagens de gerenciamento (como conduzir uma avaliação de risco). Completamente, a publicação organiza centenas de controles em 20 grupos relacionados.

O uso desses controles é obrigatório nos sistemas de informação federais, mas os controles podem ser ajustados e implementados seletivamente em qualquer organização. Junto com outras publicações de apoio do NIST, o catálogo é projetado para ajudar as organizações federais a identificar os controles necessários para satisfazer os requisitos de segurança e privacidade do Federal Information Security Management Act (FISMA), a Lei de Privacidade de 1974, Políticas do Escritório de Gestão e Orçamento e certos Padrões Federais de Processamento de Informações (FIPS).

Como uma organização pode incorporar este catálogo em seu esforço mais amplo para aumentar a segurança e a privacidade? Ross disse que o primeiro passo é avaliar os riscos que uma organização enfrenta usando ferramentas como a Estrutura de Gerenciamento de Risco do NIST, Estrutura de segurança cibernética e estrutura de privacidade. Com o uso dessas estruturas, a organização pode identificar onde precisa de salvaguardas, e então pode recorrer ao catálogo para encontrar soluções específicas.

"Uma organização pode usar este catálogo junto com qualquer abordagem de gerenciamento de risco, "Ross disse." Nós referenciamos outras publicações do NIST para a conveniência dos leitores, mas nós o projetamos para ser agnóstico. "

A quinta revisão contém uma série de melhorias em relação às versões anteriores do SP 800-53:

• Uma integração completa de privacidade nos controles. Considerando que nas edições anteriores, privacidade foi consignada a um apêndice, aqui os controles fazem parte do catálogo unificado, o que deve facilitar a vida dos usuários do NIST Privacy Framework.
• Uma nova família de controles da cadeia de suprimentos. A cadeia de abastecimento é um dos aspectos mais vulneráveis ​​do comércio global, e protegê-lo tem sido o objetivo de outros esforços recentes do NIST. As edições anteriores tinham um único controle da cadeia de suprimentos, mas a revisão 5 tem toda uma família de controle dedicada (Capítulo 3.20).
• Novo, controles de última geração - como aqueles que suportam resiliência cibernética e design de sistemas seguros - todos baseados nas informações mais recentes sobre ameaças e dados de ataques cibernéticos.

A atualização é necessária para ajudar as organizações a manter suas defesas em face de um cenário de ameaças em constante mudança.

"A revisão 5 é importante porque as ameaças, vulnerabilidades e tecnologia estão evoluindo diariamente, "disse Dominic Cussatt, principal vice-secretário assistente e vice-chefe de informações do Departamento de Assuntos de Veteranos. "É fundamental para nós que os controles permaneçam atualizados e ágeis."

O NIST está planejando um webcast no futuro para ajudar a apresentar aos usuários as proteções da coleção.

"Acreditamos que este é um conjunto de controles de classe mundial, "Ross disse." Ele oferece o maior número de salvaguardas para proteger os ativos críticos que usamos todos os dias. "

Esta história foi republicada por cortesia do NIST. Leia a história original aqui.