NIST Cybersecurity Framework 2.0: 4 مرحله برای شروع

موسسه ملی استاندارد و فناوری ایالات متحده (NIST) این را منتشر کرده است آخرین پیش نویس چارچوب امنیت سایبری مورد توجه آن (CSF) این هفته، شرکت‌ها را وادار می‌کند تا در مورد اینکه چگونه چند تغییر مهم در سند بر برنامه‌های امنیت سایبری آنها تأثیر می‌گذارد، فکر کنند.

ریچارد کارالی، مشاور ارشد امنیت سایبری می‌گوید، بین عملکرد جدید «Govern» برای ترکیب نظارت بیشتر اجرایی و هیئت‌مدیره بر امنیت سایبری، و گسترش بهترین شیوه‌ها فراتر از مواردی که فقط برای صنایع حیاتی هستند، کار خود را برای تیم‌های امنیت سایبری انجام خواهند داد. Axio، یک شرکت مدیریت تهدیدات فناوری اطلاعات و عملیات (OT).

او می‌گوید: «در بسیاری از موارد، این بدان معناست که سازمان‌ها باید به ارزیابی‌های موجود، شکاف‌های شناسایی‌شده، و فعالیت‌های اصلاحی برای تعیین تأثیر تغییرات چارچوب نگاهی جدی بیندازند. وجود نداشته است، به ویژه با توجه به حاکمیت امنیت سایبری و مدیریت ریسک زنجیره تامین."

CSF اصلی که آخرین بار 10 سال پیش به روز شد، با هدف ارائه راهنمایی های امنیت سایبری به صنایع حیاتی برای امنیت ملی و اقتصادی. آخرین نسخه این چشم انداز را تا حد زیادی گسترش می دهد تا چارچوبی برای هر سازمانی ایجاد کند که قصد دارد بلوغ و وضعیت امنیت سایبری خود را بهبود بخشد. علاوه بر این، شرکا و تامین کنندگان شخص ثالث اکنون عامل مهمی هستند که باید در CSF 2.0 در نظر گرفته شوند.

کتی تیتلر-سانتولو، استراتژیست ارشد امنیت سایبری آکسونیوس در بیانیه‌ای گفت: سازمان‌ها باید به طور سیستماتیک‌تری به امنیت سایبری نگاه کنند تا از مقررات پیروی کنند و بهترین شیوه‌های این سند را اجرا کنند.

او گفت: «عملی‌کردن این راهنمایی‌ها باید یک تلاش خودگردان از سوی کسب‌وکارها باشد. «هدایت فقط هدایت است، تا زمانی که قانون شود. سازمان‌های با عملکرد برتر این وظیفه را بر عهده خواهند گرفت که به سمت یک رویکرد تجاری محورتر برای ریسک سایبری حرکت کنند.

در اینجا چهار نکته برای عملیاتی کردن آخرین نسخه چارچوب امنیت سایبری NIST آورده شده است.

1. از همه منابع NIST استفاده کنید

NIST CSF فقط یک سند نیست، بلکه مجموعه ای از منابعی است که شرکت ها می توانند از آن برای اعمال چارچوب در محیط و الزامات خاص خود استفاده کنند. برای مثال، نمایه‌های سازمانی و اجتماعی، پایه‌ای را برای شرکت‌ها فراهم می‌کند تا الزامات، دارایی‌ها و کنترل‌های امنیت سایبری خود را ارزیابی کنند - یا دوباره ارزیابی کنند. برای آسان‌تر کردن فرآیند شروع، NIST راهنماهای QuickStart را برای بخش‌های خاص صنعت، مانند کسب‌وکارهای کوچک، و برای عملکردهای خاص، مانند مدیریت ریسک زنجیره تامین امنیت سایبری (C-SCRM) منتشر کرده است. 

نیک پوتز، مدیر عامل Protiviti، یک شرکت مشاوره فناوری اطلاعات، می گوید: منابع NIST می توانند به تیم ها در درک تغییرات کمک کنند.

او می‌گوید: «اینها می‌توانند ابزارهای بسیار ارزشمندی باشند که می‌توانند به شرکت‌ها در هر اندازه کمک کنند، اما به ویژه برای سازمان‌های کوچک‌تر مفید هستند. برنامه [اما] می‌تواند در کوتاه‌مدت برخی ناسازگاری‌هایی در امتیازدهی بلوغ [یا] معیار ایجاد کند.»

2. درباره تأثیر عملکرد «حکومت» با رهبری بحث کنید

NIST CSF 2.0 یک عملکرد اصلی کاملاً جدید را اضافه می کند: Govern. عملکرد جدید به رسمیت شناختن این موضوع است که رویکرد کلی سازمانی به امنیت سایبری باید با استراتژی کسب‌وکار مطابقت داشته باشد که با عملیات اندازه‌گیری می‌شود و توسط مدیران امنیتی از جمله هیئت مدیره مدیریت می‌شود.

تیم‌های امنیتی باید به دنبال کشف دارایی و مدیریت هویت باشند تا به اجزای حیاتی کسب‌وکار یک شرکت و نحوه تعامل کارگران و حجم کاری با آن دارایی‌ها دسترسی داشته باشند. به همین دلیل، عملکرد Govern به شدت بر سایر جنبه‌های CSF متکی است - به ویژه، عملکرد "شناسایی". و چندین مؤلفه، مانند «محیط کسب‌وکار» و «استراتژی مدیریت ریسک»، از Identity به Govern منتقل خواهند شد.

این عملکرد جدید از الزامات نظارتی در حال تحول پشتیبانی می کند، مانند قوانین SEC [افشای نقض اطلاعات]که در دسامبر 2023 اجرایی شد، احتمالاً اشاره ای به پتانسیل اقدامات نظارتی اضافی در آینده است. "و نقش امانتداری که رهبری در فرآیند مدیریت ریسک امنیت سایبری ایفا می کند را برجسته می کند."

3. امنیت زنجیره تامین خود را در نظر بگیرید

ریسک زنجیره تامین در CSF 2.0 اهمیت بیشتری پیدا می کند. سازمان‌ها معمولاً می‌توانند ریسک را بپذیرند، از آن اجتناب کنند، سعی کنند ریسک را کاهش دهند، ریسک را به اشتراک بگذارند یا موضوع را به سازمان دیگری منتقل کنند. آلوک چاکراورتی، شریک و رئیس تحقیقات، مجری دولت، می‌گوید، برای مثال، تولیدکنندگان مدرن معمولاً ریسک سایبری را به خریداران خود منتقل می‌کنند، به این معنی که قطعی ناشی از حمله سایبری به تأمین‌کننده می‌تواند شرکت شما را نیز تحت تأثیر قرار دهد. و گروه تمرین حفاظت یقه سفید در شرکت حقوقی Snell & Wilmer.

چاکراورتی می‌گوید، تیم‌های امنیتی باید سیستمی برای ارزیابی وضعیت امنیت سایبری تامین‌کنندگان، شناسایی نقاط ضعف بالقوه قابل بهره‌برداری و بررسی اینکه ریسک تامین‌کننده به خریدارانشان منتقل نمی‌شود ایجاد کنند. 

او می‌گوید: «از آنجایی که امنیت فروشنده اکنون به صراحت برجسته شده است، بسیاری از فروشندگان ممکن است خود را به‌عنوان روش‌های منطبق به بازار معرفی کنند، اما شرکت‌ها به‌خوبی این بازنمایی‌ها را بررسی و تحت فشار قرار می‌دهند.» جست‌وجوی گزارش‌های ممیزی و سیاست‌های اضافی پیرامون این نمایندگی‌های امنیت سایبری ممکن است بخشی از این بازار در حال تحول شود.

4. تأیید کنید که فروشندگان شما از CSF 2.0 پشتیبانی می کنند

خدمات مشاوره و محصولات مدیریت وضعیت امنیت سایبری، در میان سایر موارد، احتمالاً نیاز به ارزیابی مجدد و به روز رسانی برای پشتیبانی از آخرین CSF دارند. به‌عنوان مثال، ابزارهای حاکمیت سنتی، ریسک و انطباق (GRC) باید با توجه به تاکید فزاینده‌ای که NIST بر عملکرد Govern می‌کند، مورد بازنگری قرار گیرد.

به گفته کارالی، علاوه بر این، CSF 2.0 فشار بیشتری را بر محصول و خدمات مدیریت زنجیره تامین وارد می‌کند تا ریسک‌های شخص ثالث را بهتر شناسایی و کنترل کند.

او می‌افزاید: «احتمالاً ابزارها و روش‌های موجود فرصت‌هایی را در به‌روزرسانی‌های چارچوب برای بهبود محصولات و خدمات ارائه‌شده برای همسویی بهتر با مجموعه تمرینی گسترده‌تر خواهند دید».

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started