El NIST llança la versió ampliada 2.0 de Landmark Cybersecurity Framework per ajudar a les organitzacions d'infraestructura crítica
El National Institute of Standards and Technology (NIST) ha presentat la versió 2.0 del seu marc de ciberseguretat (CSF), marcant una fita important en l'estratègia de ciberseguretat. Originalment dissenyat per a organitzacions d'infraestructures crítiques, el CSF ha obtingut una adopció generalitzada més enllà del seu abast previst, fet que va provocar que NIST millorés la seva aplicabilitat en diversos sectors i mides organitzatives. El marc actualitzat, basat en els comentaris sobre el seu esborrany, amplia la guia bàsica i introdueix la funció crucial "Govern", abordant les llacunes en la gestió del risc.
El nou marc, que no s'ha actualitzat en uns 10 anys, arriba en un moment crític en què les organitzacions d'infraestructura crítica s'enfronten a atacs cibernètics greus que podrien paralitzar les funcions del dia a dia en moltes facetes de la vida. Alguns atacs han desarrelat operacions d'atenció crítica en grups de salut i moltes altres indústries, que el nou marc pretén ajudar a frustrar.
Robert Booker, director d'estratègia d'HITRUST, va subratllar la importància de la funció Govern, destacant el seu paper fonamental en la gestió del risc dins del panorama de la ciberseguretat. En particular, el CSF 2.0 ofereix als usuaris exemples d'implementació personalitzats i guies d'inici ràpid, facilitant la seva aplicació pràctica. A més, incorpora un catàleg de referències consultables, racionalitzant l'alineació amb més de 50 documents de ciberseguretat.
La directora del NIST, Laurie E. Locascio, va destacar la naturalesa dinàmica de CSF 2.0, presentant-la com un conjunt de recursos personalitzables adaptables a les necessitats de ciberseguretat i capacitats organitzatives en evolució. Katherine Ledesma, de la firma de ciberseguretat industrial Dragos, va destacar les implicacions del marc per a les organitzacions amb sistemes de control industrial (ICS) i sistemes de tecnologia operativa (OT). Va posar èmfasi en un canvi de percepció, posicionant la inversió en ciberseguretat no només com un centre de costos, sinó com un facilitador estratègic per a les operacions empresarials, especialment crític per a indústries com la fabricació i els serveis públics.
Ledesma també va emfatitzar la importància de distingir entre entorns informàtics i OT dins del marc CSF, preveient un enfocament matisat per salvaguardar els sistemes ICS/OT. Va subratllar la necessitat d'actualitzacions contínues i orientació especialitzada per abordar els riscos únics associats a aquests sistemes, i va defensar la integració de consideracions específiques d'OT en documents d'orientació i planificació de ciberseguretat més amplis.
En general, el llançament de CSF 2.0 suposa un avenç significatiu en l'estratègia de ciberseguretat, oferint un marc integral adaptable a diversos contextos organitzatius i posant èmfasi en el paper crític de la ciberseguretat per donar suport a la resiliència i la continuïtat empresarial.