NIST Cybersecurity Framework 2.0: 4 trin til at komme i gang

Det amerikanske National Institute of Standards and Technology (NIST) har udgivet seneste udkast til dets velansete Cybersecurity Framework (CSF) denne uge, hvilket lader virksomheder overveje, hvordan nogle få væsentlige ændringer i dokumentet påvirker deres cybersikkerhedsprogrammer.

Mellem den nye "Govern"-funktion til at inkorporere større ledelses- og bestyrelsesovervågning af cybersikkerhed og udvidelsen af ​​bedste praksis ud over kun dem for kritiske industrier, vil cybersikkerhedsteams få deres arbejde skåret ud for dem, siger Richard Caralli, senior cybersikkerhedsrådgiver hos Axio, et trusselshåndteringsfirma for IT og operationel teknologi (OT).

"I mange tilfælde vil dette betyde, at organisationer er nødt til at se grundigt på eksisterende vurderinger, identificerede huller og udbedringsaktiviteter for at bestemme virkningen af ​​rammeændringerne," siger han og tilføjer, at "der vil opstå nye programhuller, som tidligere evt. ikke har været til stede, især med hensyn til cybersikkerhedsstyring og forsyningskæderisikostyring."

Den oprindelige CSF, sidst opdateret for 10 år siden, havde til formål at give cybersikkerhedsvejledning til industrier, der er afgørende for national og økonomisk sikkerhed. Det seneste version udvider i høj grad denne vision for at skabe en ramme for enhver organisation, der har til hensigt at forbedre sin cybersikkerhedsmodenhed og holdning. Derudover er tredjepartspartnere og leverandører nu en væsentlig faktor at overveje i CSF 2.0.

Organisationer er nødt til at se mere systematisk på cybersikkerhed for at overholde regler og implementere den bedste praksis fra dokumentet, sagde Katie Teitler-Santullo, senior cybersikkerhedsstrateg for Axonius, i en erklæring.

"At gøre denne vejledning handlekraftig bliver nødt til at være en selvkørende indsats fra virksomheder," sagde hun. ”Vejledning er bare vejledning, indtil det bliver lov. De bedst ydende organisationer vil påtage sig at bevæge sig hen imod en mere forretningscentreret tilgang til cyberrisiko."

Her er fire tips til operationalisering af den seneste version af NIST Cybersecurity Framework.

1. Brug alle NIST-ressourcerne

NIST CSF er ikke bare et dokument, men en samling af ressourcer, som virksomheder kan bruge til at anvende rammerne til deres specifikke miljø og krav. Organisations- og samfundsprofiler danner for eksempel grundlaget for, at virksomheder kan vurdere - eller revurdere - deres cybersikkerhedskrav, aktiver og kontroller. For at gøre processen nemmere at starte, har NIST også udgivet QuickStart-vejledninger til specifikke branchesegmenter, såsom små virksomheder, og for specifikke funktioner, såsom cybersecurity supply chain risk management (C-SCRM). 

NIST-ressourcerne kan hjælpe teams med at forstå ændringerne, siger Nick Puetz, administrerende direktør hos Protiviti, et it-konsulentfirma.

"Dette kan være meget værdifulde værktøjer, der kan hjælpe virksomheder i alle størrelser, men er især nyttige for mindre organisationer," siger han og tilføjer, at teams bør "sikre, at dit seniorlederteam - og endda din bestyrelse - forstår, hvordan dette vil gavne program [men] kunne skabe nogle modenhedsscoring [eller] benchmarking inkonsistens på kort sigt."

2. Diskuter indvirkningen af ​​"regerings"-funktion med lederskab

NIST CSF 2.0 tilføjer en helt ny kernefunktion: Styr. Den nye funktion er en erkendelse af, at den overordnede organisatoriske tilgang til cybersikkerhed skal matche virksomhedens strategi, målt på drift og styret af sikkerhedschefer, herunder bestyrelsen.

Sikkerhedsteams bør se efter aktivopdagelse og identitetsstyring for at give synlighed i de kritiske komponenter i en virksomheds virksomhed, og hvordan medarbejdere og arbejdsbelastninger interagerer med disse aktiver. På grund af det, er Govern-funktionen stærkt afhængig af andre aspekter af CSF - især "Identificer"-funktionen. Og flere komponenter, såsom "Business Environment" og "Risk Management Strategy", vil blive flyttet fra Identity til Govern, siger Axios Caralli.

“Denne nye funktion understøtter skiftende regulatoriske krav, som f.eks SEC-reglerne [oplysning om databrud], som trådte i kraft i december 2023, er sandsynligvis et nik til potentialet for yderligere regulatoriske handlinger, der kommer,« siger han. "Og det fremhæver den tillidsrolle, som lederskab spiller i cybersikkerhedsrisikostyringsprocessen."

3. Overvej din forsyningskædesikkerhed

Forsyningskæderisiko vinder mere frem i CSF 2.0. Organisationer kan typisk acceptere risiko, undgå dem, forsøge at mindske risikoen, dele risikoen eller overføre problemet til en anden organisation. Moderne producenter overfører for eksempel typisk cyberrisiko til deres købere, hvilket betyder, at et udfald forårsaget af et cyberangreb på en leverandør også kan påvirke din virksomhed, siger Aloke Chakravarty, partner og medformand for undersøgelserne, regeringshåndhævelse, og praksisgruppe for funktionær beskyttelse hos advokatfirmaet Snell & Wilmer.

Sikkerhedsteams bør oprette et system til at evaluere leverandørers cybersikkerhedsposition, identificere potentielt udnyttelige svagheder og verificere, at leverandørens risiko ikke overføres til deres købere, siger Chakravarty. 

"Fordi leverandørsikkerhed nu udtrykkeligt fremhæves, kan mange leverandører markedsføre sig selv som værende i overensstemmelse med praksis, men virksomheder vil gøre klogt i at granske og presse disse repræsentationer," siger han. "At søge yderligere revisionsrapportering og politikker omkring disse cybersikkerhedsrepræsentationer kan blive en del af dette udviklende marked."

4. Bekræft, at dine leverandører understøtter CSF 2.0

Konsulenttjenester og cybersikkerhedsposture management-produkter, blandt andre, vil sandsynligvis skulle revurderes og opdateres for at understøtte den seneste CSF. Traditionelle styrings-, risiko- og overholdelsesværktøjer (GRC) bør for eksempel revurderes i lyset af den øgede vægt, som NIST lægger på Govern-funktionen, siger Axios Caralli.

Desuden lægger CSF 2.0 yderligere pres på forsyningskædestyringsprodukter og -tjenester for bedre at identificere og kontrollere deres tredjepartsrisici, siger Caralli.

Han tilføjer: "Det er sandsynligt, at eksisterende værktøjer og metoder vil se muligheder i rammeopdateringerne for at forbedre deres produkter og servicetilbud for bedre at tilpasse sig det udvidede praksissæt."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started