El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ha publicado el último borrador de su reconocido Marco de Ciberseguridad (CSF) esta semana, lo que dejó a las empresas reflexionando sobre cómo algunos cambios significativos en el documento afectan sus programas de ciberseguridad.
Entre la nueva función de "Gobierno" para incorporar una mayor supervisión ejecutiva y de la junta directiva de la ciberseguridad, y la expansión de las mejores prácticas más allá de aquellas para industrias críticas, los equipos de ciberseguridad tendrán mucho trabajo por delante, dice Richard Caralli, asesor senior de ciberseguridad de Axio, una empresa de gestión de amenazas de TI y tecnología operativa (OT).
"En muchos casos, esto significará que las organizaciones tendrán que analizar detenidamente las evaluaciones existentes, las brechas identificadas y las actividades de remediación para determinar el impacto de los cambios en el marco", dice, y agrega que "surgirán nuevas brechas en los programas que antes No habría estado presente, especialmente con respecto a la gobernanza de la ciberseguridad y la gestión de riesgos de la cadena de suministro”.
El CSF original, actualizado por última vez hace 10 años, tenía como objetivo proporcionar orientación sobre ciberseguridad a Industrias críticas para la seguridad nacional y económica.. última versión amplía enormemente esa visión para crear un marco para cualquier organización que desee mejorar su madurez y postura en materia de ciberseguridad. Además, los socios y proveedores externos son ahora un factor importante a considerar en el MCA 2.0.
Las organizaciones deben analizar la ciberseguridad de manera más sistemática para cumplir con las regulaciones e implementar las mejores prácticas del documento, dijo en un comunicado Katie Teitler-Santullo, estratega senior de ciberseguridad de Axonius.
“Para que esta guía sea viable será necesario un esfuerzo autopropulsado por parte de las empresas”, afirmó. “La orientación es sólo orientación, hasta que se convierte en ley. Las organizaciones con mejor desempeño se encargarán de avanzar hacia un enfoque del riesgo cibernético más centrado en el negocio”.
A continuación se ofrecen cuatro consejos para la puesta en funcionamiento de la última versión del Marco de ciberseguridad del NIST.
1. Utilice todos los recursos del NIST
El NIST CSF no es solo un documento, sino una colección de recursos que las empresas pueden utilizar para aplicar el marco a su entorno y requisitos específicos. Los perfiles organizacionales y comunitarios, por ejemplo, proporcionan la base para que las empresas evalúen (o reevalúen) sus requisitos, activos y controles de ciberseguridad. Para facilitar el inicio del proceso, el NIST también ha publicado guías de inicio rápido para segmentos industriales específicos, como las pequeñas empresas, y para funciones específicas, como la gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM).
Los recursos del NIST pueden ayudar a los equipos a comprender los cambios, afirma Nick Puetz, director general de Protiviti, una firma de consultoría de TI.
"Estas pueden ser herramientas muy valiosas que pueden ayudar a empresas de todos los tamaños, pero son especialmente útiles para organizaciones más pequeñas", dice, y agrega que los equipos deben "asegurarse de que su equipo de liderazgo senior, e incluso su junta directiva, comprendan cómo esto beneficiará a las empresas". programa [pero] podría crear algunas inconsistencias en la puntuación de madurez [o] en la evaluación comparativa en el corto plazo”.
2. Discutir el impacto de la función de “gobernar” con el liderazgo
El NIST CSF 2.0 agrega una función central completamente nueva: Gobernar. La nueva función es un reconocimiento de que el enfoque organizacional general hacia la ciberseguridad debe coincidir con la estrategia del negocio, medida por operaciones y administrada por ejecutivos de seguridad, incluida la junta directiva.
Los equipos de seguridad deben buscar el descubrimiento de activos y la gestión de identidades para brindar visibilidad de los componentes críticos del negocio de una empresa y cómo los trabajadores y las cargas de trabajo interactúan con esos activos. Por eso, la función de Gobernar depende en gran medida de otros aspectos del MCA, en particular, la función de “Identificar”. Y varios componentes, como el “entorno empresarial” y la “estrategia de gestión de riesgos”, pasarán de Identidad a Gobernación, afirma Caralli de Axio.
“Esta nueva función respalda los requisitos regulatorios en evolución, como las reglas de la SEC [divulgación de violación de datos], que entró en vigor en diciembre de 2023, es probablemente un guiño a la posibilidad de que se adopten medidas regulatorias adicionales en el futuro”, afirma. "Y destaca el papel fiduciario que desempeña el liderazgo en el proceso de gestión de riesgos de ciberseguridad".
3. Considere la seguridad de su cadena de suministro
El riesgo de la cadena de suministro gana más importancia en el MCA 2.0. Por lo general, las organizaciones pueden aceptar el riesgo, evitarlo, intentar mitigarlo, compartirlo o transferir el problema a otra organización. Los fabricantes modernos, por ejemplo, normalmente transfieren el riesgo cibernético a sus compradores, lo que significa que una interrupción causada por un ataque cibernético a un proveedor también puede afectar a su empresa, dice Aloke Chakravarty, socio y copresidente de investigaciones, aplicación del gobierno, y el grupo de práctica de protección de cuello blanco del bufete de abogados Snell & Wilmer.
Los equipos de seguridad deben crear un sistema para evaluar la postura de ciberseguridad de los proveedores, identificar debilidades potencialmente explotables y verificar que el riesgo del proveedor no se transfiera a sus compradores, afirma Chakravarty.
"Debido a que ahora se destaca expresamente la seguridad de los proveedores, muchos proveedores pueden promocionarse como si tuvieran prácticas conformes, pero las empresas harían bien en examinar y poner a prueba estas representaciones", dice. "La búsqueda de informes de auditoría y políticas adicionales en torno a estas representaciones de ciberseguridad puede convertirse en parte de este mercado en evolución".
4. Confirme que sus proveedores admitan CSF 2.0
Es probable que sea necesario reevaluar y actualizar los servicios de consultoría y los productos de gestión de la postura de ciberseguridad, entre otros, para respaldar el último CSF. Las herramientas tradicionales de gobernanza, riesgo y cumplimiento (GRC), por ejemplo, deberían reexaminarse a la luz del mayor énfasis puesto por el NIST en la función de gobernanza, dice Caralli de Axio.
Además, el CSF 2.0 ejerce una presión adicional sobre los productos y servicios de gestión de la cadena de suministro para identificar y controlar mejor los riesgos de terceros, afirma Caralli.
Y añade: "Es probable que las herramientas y métodos existentes vean oportunidades en las actualizaciones del marco para mejorar sus ofertas de productos y servicios para alinearse mejor con el conjunto de prácticas ampliado".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- :posee
- :es
- :no
- 1
- 10
- 2023
- 7
- a
- Aceptar
- procesable
- acciones
- actividades
- la adición de
- adición
- Adicionales
- Añade
- afectar
- .
- Dirigido
- alinear
- Todos
- también
- entre
- an
- y
- Otra
- cualquier
- Aplicá
- enfoque
- somos
- en torno a
- AS
- aspectos
- evaluar
- evaluaciones
- activo
- Activos
- At
- intento
- auditoría
- evitar
- BE
- porque
- a las que has recomendado
- se convierte en
- esto
- "Ser"
- evaluación comparativa
- es el beneficio
- MEJOR
- y las mejores prácticas
- mejores
- Más allá de
- tablero
- Consejo de Administración
- centrado en el negocio
- negocios
- pero
- compradores
- by
- PUEDEN
- cases
- causado
- cadena
- Cambios
- Co-Presidenta
- --
- cómo
- vibrante e inclusiva
- Empresas
- compañía
- compliance
- cumplir
- componentes
- Confirmar
- Considerar
- consultoría
- control
- controles
- Core
- podría
- Para crear
- crítico
- Corte
- Ataque cibernetico
- La Ciberseguridad
- Diciembre
- Determinar
- Director
- directiva
- revelación
- descubrimiento
- discutir
- do
- documento
- borrador
- más fácil
- Economic
- efecto
- esfuerzo
- surgir
- énfasis
- cumplimiento
- garantizar
- enteramente
- Entorno
- especialmente
- evaluar
- Incluso
- evolución
- ejemplo
- ejecutivos
- ejecutivos.
- existente
- expandido
- se expande
- expansión
- factor
- pocos
- Firme
- Fundación
- Digital XNUMXk
- Marco conceptual
- Desde
- función
- funciones
- Ganancias
- lagunas
- obtener
- gobernar
- gobierno
- Gobierno
- mayor
- muy
- Grupo procesos
- guía
- Guías
- Difícil
- Tienen
- es
- he
- fuertemente
- ayuda
- Destacado
- destacados
- altamente
- Cómo
- HTTPS
- no haber aun identificado una solucion para el problema
- Identifique
- Identidad
- de gestión de identidades
- Impacto
- implementar
- mejorar
- in
- Incluye
- inconsistencias
- incorporar
- aumentado
- industrias
- energético
- Innovadora
- La intención
- interactuar
- dentro
- Investigaciones
- IT
- SUS
- jpg
- solo
- Apellidos
- más reciente
- de derecho criminal
- bufete de abogados
- Liderazgo
- dejarlo
- luz
- que otros
- Mira
- para lograr
- Realizar
- gestionado
- Management
- administrar
- Director General
- Fabricantes
- muchos
- Mercado
- Match
- madurez
- Puede..
- personalizado
- significa
- métodos
- Mitigar las
- Moderno
- más,
- movimiento
- emocionado
- Nacional
- ¿ Necesita ayuda
- Nuevo
- mella
- nist
- ahora
- of
- Lista de ofrendas
- on
- operativos.
- Operaciones
- Del Mañana
- or
- organización
- organizativo
- para las fiestas.
- reconocida por
- Otro
- Otros
- salir
- corte
- total
- Supervisión
- parte
- particular
- Socio
- socios
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- juega
- políticas
- posible
- la posibilidad
- prácticas
- presente
- presión
- previamente
- Producto
- Productos
- Perfiles
- Programa
- Programas
- prominencia
- Protección
- proporcionar
- publicado
- Pone
- reconocimiento
- reglamentos
- regulador
- liberado
- remediación
- Informes
- Requisitos
- Recursos
- respeto
- Dick
- Riesgo
- Gestión sistemática del riesgo,
- riesgos
- Función
- s
- Said
- dice
- tanteo
- SEG
- EN LINEA
- ver
- la búsqueda de
- segmentos
- mayor
- liderazgo experimentado
- de coches
- Servicios
- set
- Varios
- Compartir
- ella
- En Corto
- tienes
- importante
- tamaños
- chica
- pequeñas empresas
- menores
- algo
- soluciones y
- Patrocinado
- estándares de salud
- comienzo
- fundó
- Posicionamiento
- pasos
- Estratega
- Estrategia
- tal
- proveedor
- proveedores
- suministro
- cadena de suministro
- gestión de la cadena de suministro
- SOPORTE
- soportes
- te
- ¡Prepárate!
- equipo
- equipos
- Tecnología
- término
- esa
- La
- su
- Les
- sí mismos
- Estas
- terceros.
- así
- aquellos
- amenaza
- recomendaciones
- a
- se
- hacia
- tradicional
- transferir
- transferido
- típicamente
- entender
- hasta
- actualizado
- Actualizaciones
- a
- us
- utilizan el
- eficiente
- Valioso
- vendedor
- vendedores
- verificar
- versión
- la visibilidad
- visión
- debilidades
- semana
- WELL
- que
- seguirá
- Actividades:
- los trabajadores.
- años
- tú
- zephyrnet
