NIST Cybersecurity Framework 2.0: 4 خطوات للبدء

أصدر المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) تقريرًا أحدث مسودة لإطار الأمن السيبراني (CSF) الذي يحظى بتقدير كبير هذا الأسبوع، مما يترك الشركات تفكر في كيفية تأثير بعض التغييرات المهمة في الوثيقة على برامج الأمن السيبراني الخاصة بها.

بين وظيفة "الحوكمة" الجديدة التي تتضمن قدرًا أكبر من الإشراف التنفيذي ومجالس الإدارة على الأمن السيبراني، وتوسيع أفضل الممارسات بما يتجاوز تلك الخاصة بالصناعات الحيوية فقط، فإن عمل فرق الأمن السيبراني سيكون صعبًا بالنسبة لهم، كما يقول ريتشارد كارالي، كبير مستشاري الأمن السيبراني في Axio، شركة لإدارة التهديدات المتعلقة بتكنولوجيا المعلومات والتكنولوجيا التشغيلية (OT).

ويقول: "في كثير من الحالات، سيعني هذا أنه يتعين على المنظمات إلقاء نظرة فاحصة على التقييمات الحالية، والفجوات المحددة، وأنشطة العلاج لتحديد تأثير تغييرات الإطار"، مضيفًا أن "فجوات جديدة في البرامج ستظهر في السابق". لم تكن حاضرة، خاصة فيما يتعلق بحوكمة الأمن السيبراني وإدارة مخاطر سلسلة التوريد.

يهدف CSF الأصلي، الذي تم تحديثه آخر مرة منذ 10 سنوات، إلى توفير إرشادات الأمن السيبراني لـ الصناعات الحيوية للأمن القومي والاقتصادي. أحدث إصدار يوسع هذه الرؤية بشكل كبير لإنشاء إطار عمل لأي منظمة تنوي تحسين نضجها ووضعها في مجال الأمن السيبراني. بالإضافة إلى ذلك، أصبح الشركاء والموردون الخارجيون الآن عاملاً مهمًا يجب مراعاته في CSF 2.0.

وقالت كاتي تيتلر سانتولو، كبيرة استراتيجيي الأمن السيبراني في Axonius، في بيان لها، إن المنظمات بحاجة إلى النظر إلى الأمن السيبراني بشكل أكثر منهجية للامتثال للوائح وتنفيذ أفضل الممارسات الواردة في الوثيقة.

وقالت: "إن جعل هذا التوجيه قابلاً للتنفيذ يجب أن يكون جهدًا ذاتيًا من جانب الشركات". "الإرشاد مجرد إرشاد حتى يصبح قانونًا. ستأخذ المؤسسات ذات الأداء الأفضل على عاتقها التحرك نحو نهج أكثر تركيزًا على الأعمال تجاه المخاطر الإلكترونية.

فيما يلي أربع نصائح لتشغيل أحدث إصدار من NIST Cybersecurity Framework.

1. استخدم جميع موارد NIST

إن NIST CSF ليس مجرد وثيقة، بل هو مجموعة من الموارد التي يمكن للشركات استخدامها لتطبيق الإطار على بيئتها ومتطلباتها المحددة. على سبيل المثال، توفر الملفات التنظيمية والمجتمعية الأساس للشركات لتقييم - أو إعادة تقييم - متطلبات الأمن السيبراني وأصولها وضوابطها. لتسهيل بدء العملية، نشرت NIST أيضًا أدلة QuickStart لقطاعات صناعية محددة، مثل الشركات الصغيرة، ولوظائف محددة، مثل إدارة مخاطر سلسلة التوريد للأمن السيبراني (C-SCRM). 

يقول نيك بويتز، المدير الإداري في شركة بروتيفيتي، وهي شركة استشارات تكنولوجيا المعلومات، إن موارد NIST يمكن أن تساعد الفرق على فهم التغييرات.

ويقول: "يمكن أن تكون هذه أدوات ذات قيمة عالية يمكن أن تساعد الشركات من جميع الأحجام ولكنها مفيدة بشكل خاص للمؤسسات الصغيرة"، مضيفًا أنه يجب على الفرق "التأكد من أن فريق القيادة العليا لديك - وحتى مجلس الإدارة - يفهم كيف سيفيد ذلك الشركة". البرنامج [لكن] يمكن أن يخلق بعض درجات النضج [أو] تناقضات في المعايير على المدى القصير.

2. ناقش تأثير وظيفة "الحكم" مع القيادة

يضيف NIST CSF 2.0 وظيفة أساسية جديدة تمامًا: الإدارة. وتمثل الوظيفة الجديدة اعترافًا بأن النهج التنظيمي الشامل للأمن السيبراني يجب أن يتوافق مع استراتيجية العمل، والتي يتم قياسها من خلال العمليات، ويديرها المسؤولون التنفيذيون في مجال الأمن، بما في ذلك مجلس الإدارة.

يجب أن تتطلع فرق الأمان إلى اكتشاف الأصول وإدارة الهوية لتوفير رؤية للمكونات المهمة لأعمال الشركة وكيفية تفاعل العمال وأعباء العمل مع تلك الأصول. ولهذا السبب، تعتمد وظيفة الإدارة بشكل كبير على جوانب أخرى من CSF - على وجه الخصوص، وظيفة "التحديد". وسيتم نقل العديد من المكونات، مثل "بيئة الأعمال" و"استراتيجية إدارة المخاطر"، من الهوية إلى الإدارة، كما يقول كارالي من Axio.

"تدعم هذه الوظيفة الجديدة المتطلبات التنظيمية المتطورة، مثل قواعد SEC [الكشف عن خرق البيانات].ويقول: "، والتي دخلت حيز التنفيذ في ديسمبر 2023، من المحتمل أن تكون إشارة إلى احتمال اتخاذ إجراءات تنظيمية إضافية في المستقبل". "ويسلط الضوء على الدور الائتماني الذي تلعبه القيادة في عملية إدارة مخاطر الأمن السيبراني."

3. ضع في اعتبارك أمان سلسلة التوريد لديك

تكتسب مخاطر سلسلة التوريد أهمية أكبر في CSF 2.0. يمكن للمؤسسات عادةً قبول المخاطر أو تجنبها أو محاولة تخفيف المخاطر أو مشاركة المخاطر أو نقل المشكلة إلى مؤسسة أخرى. على سبيل المثال، تقوم الشركات المصنعة الحديثة بنقل المخاطر الإلكترونية إلى المشترين، مما يعني أن انقطاع التيار الكهربائي الناجم عن هجوم إلكتروني على أحد الموردين يمكن أن يؤثر على شركتك أيضًا، كما يقول ألوك تشاكرافارتي، الشريك والرئيس المشارك للتحقيقات والإنفاذ الحكومي. ومجموعة ممارسات حماية ذوي الياقات البيضاء في شركة المحاماة Snell & Wilmer.

يقول تشاكرافارتي إنه يجب على فرق الأمن إنشاء نظام لتقييم وضع الأمن السيبراني للموردين، وتحديد نقاط الضعف المحتملة التي يمكن استغلالها، والتحقق من عدم نقل مخاطر المورد إلى المشترين. 

ويقول: "نظرًا لأن أمن البائعين قد تم تسليط الضوء عليه صراحةً الآن، فقد يقوم العديد من البائعين بتسويق أنفسهم على أنهم يمتلكون ممارسات مطابقة، ولكن من الأفضل للشركات أن تقوم بفحص هذه الإقرارات واختبارها بالضغط". "إن البحث عن تقارير وسياسات تدقيق إضافية حول تمثيلات الأمن السيبراني هذه قد يصبح جزءًا من هذا السوق المتطور."

4. تأكد من دعم البائعين لديك لـ CSF 2.0

من المرجح أن تحتاج الخدمات الاستشارية ومنتجات إدارة وضع الأمن السيبراني، من بين أمور أخرى، إلى إعادة تقييم وتحديث لدعم أحدث CSF. على سبيل المثال، ينبغي إعادة النظر في أدوات الحوكمة والمخاطر والامتثال التقليدية (GRC) في ضوء التركيز المتزايد الذي تضعه NIST على وظيفة الإدارة، كما يقول كارالي من Axio.

علاوة على ذلك، يقول كارالي إن CSF 2.0 يضع ضغطًا إضافيًا على منتجات وخدمات إدارة سلسلة التوريد لتحديد مخاطر الطرف الثالث والسيطرة عليها بشكل أفضل.

ويضيف: "من المحتمل أن ترى الأدوات والأساليب الحالية فرصًا في تحديثات الإطار لتحسين منتجاتها وعروض الخدمات لتتوافق بشكل أفضل مع مجموعة الممارسات الموسعة."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started