NIST Cybersecurity Framework 2.0: 4 vaihetta alkuun

Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST) on julkaissut viimeisin luonnos sen hyvin arvostetusta kyberturvallisuuskehyksestä (CSF) Tällä viikolla yritykset jäävät pohtimaan, kuinka muutama merkittävä muutos asiakirjaan vaikuttaa niiden kyberturvallisuusohjelmiin.

Uuden "Govern"-toiminnon, joka sisältää laajemman kyberturvallisuuden johdon ja hallituksen valvonnan, ja parhaiden käytäntöjen laajentamisen välillä kriittisten toimialojen käytäntöjen lisäksi kyberturvatiimeillä on tehtävänsä, sanoo Richard Caralli, vanhempi kyberturvallisuusneuvoja Axio, IT- ja operatiivisen teknologian (OT) uhkien hallintayritys.

"Monissa tapauksissa tämä tarkoittaa, että organisaatioiden on tarkasteltava tarkasti olemassa olevia arviointeja, tunnistettuja puutteita ja korjaustoimia puitteiden muutosten vaikutuksen määrittämiseksi", hän sanoo ja lisää, että "uusia ohjelmiin tulee aukkoja, jotka aiemmin saattoivat ei ole ollut läsnä, etenkään kyberturvallisuuden hallinnan ja toimitusketjun riskienhallinnan osalta."

Alkuperäisen CSF:n, joka päivitettiin viimeksi 10 vuotta sitten, tarkoituksena oli tarjota kyberturvallisuusohjeita kansallisen ja taloudellisen turvallisuuden kannalta kriittisiä toimialoja. uusin versio laajentaa suuresti tätä visiota luodakseen puitteet mille tahansa organisaatiolle, joka aikoo parantaa kyberturvallisuuttaan ja asentoaan. Lisäksi kolmannen osapuolen kumppanit ja toimittajat ovat nyt merkittävä tekijä, joka on otettava huomioon CSF 2.0:ssa.

Organisaatioiden on tarkasteltava kyberturvallisuutta järjestelmällisemmin noudattaakseen säädöksiä ja ottaakseen käyttöön asiakirjan parhaat käytännöt, Axoniuksen vanhempi kyberturvallisuusstrategi Katie Teitler-Santullo sanoi lausunnossaan.

"Tämän ohjeen toteuttaminen edellyttää yritysten oma-aloitteista työtä", hän sanoi. "Ohjaus on vain ohjausta, kunnes siitä tulee laki. Huippusuorittajaorganisaatiot ottavat tehtäväkseen siirtyä kohti liiketoimintakeskeismpää lähestymistapaa kyberriskeihin."

Tässä on neljä vinkkiä NIST Cybersecurity Frameworkin uusimman version käyttöönottamiseksi.

1. Käytä kaikkia NIST-resursseja

NIST CSF ei ole vain asiakirja, vaan kokoelma resursseja, joita yritykset voivat käyttää soveltaakseen viitekehystä omaan ympäristöönsä ja vaatimuksiinsa. Esimerkiksi organisaatio- ja yhteisöprofiilit antavat yrityksille perustan kyberturvallisuusvaatimustensa, -omaisuutensa ja valvontansa arvioimiseen tai uudelleenarviointiin. Prosessin käynnistämisen helpottamiseksi NIST on myös julkaissut QuickStart-oppaat tietyille toimialasegmenteille, kuten pienyrityksille, ja tietyille toiminnoille, kuten kyberturvallisuuden toimitusketjun riskien hallintaan (C-SCRM). 

NIST-resurssit voivat auttaa tiimejä ymmärtämään muutokset, sanoo Nick Puetz, IT-konsulttiyrityksen Protivitin toimitusjohtaja.

"Nämä voivat olla erittäin arvokkaita työkaluja, jotka voivat auttaa kaiken kokoisia yrityksiä, mutta ovat erityisen hyödyllisiä pienemmille organisaatioille", hän sanoo ja lisää, että tiimien tulisi "varmistaa, että ylimmän johtoryhmän - ja jopa johtokuntasi - ymmärtää, kuinka tämä hyödyttää ohjelma [mutta] saattaa aiheuttaa kypsyyspisteytyksen [tai] benchmarkingin epäjohdonmukaisuuksia lyhyellä aikavälillä."

2. Keskustelkaa "hallinnollisen" toiminnan vaikutuksesta johtajuuteen

NIST CSF 2.0 lisää täysin uuden ydintoiminnon: Hallitse. Uusi toiminto on tunnustus siitä, että kyberturvallisuuden organisaation kokonaisvaltaisen lähestymistavan on vastattava liiketoiminnan strategiaa, toiminnalla mitattuna ja turvallisuusjohtajien, mukaan lukien hallituksen, johdosta.

Tietoturvatiimien tulisi pyrkiä löytämään omaisuutta ja identiteetin hallintaa, jotta he pystyvät näkemään yrityksen liiketoiminnan kriittiset osatekijät ja kuinka työntekijät ja työmäärät ovat vuorovaikutuksessa näiden resurssien kanssa. Tästä johtuen Govern-toiminto on vahvasti riippuvainen CSF:n muista näkökohdista - erityisesti "Tunnista"-toiminnosta. Ja useat komponentit, kuten "Business Environment" ja "Risk Management Strategy", siirretään Identitystä Govern-järjestelmään, sanoo Axio's Caralli.

”Tämä uusi toiminto tukee kehittyviä sääntelyvaatimuksia, kuten SEC [data-breach disclosure] -säännöt, joka tuli voimaan joulukuussa 2023, on todennäköisesti vihjaus mahdollisille lisäsääntelytoimille, hän sanoo. "Ja se korostaa luottamustehtävää, joka johtajuudella on kyberturvallisuusriskien hallintaprosessissa."

3. Harkitse toimitusketjusi turvallisuutta

Toimitusketjun riskit korostuvat CSF 2.0:ssa. Organisaatiot voivat yleensä hyväksyä riskin, välttää sitä, yrittää vähentää riskiä, ​​jakaa riskin tai siirtää ongelman toiselle organisaatiolle. Nykyaikaiset valmistajat esimerkiksi siirtävät kyberriskin tyypillisesti ostajilleen, mikä tarkoittaa, että toimittajaan kohdistuvan kyberhyökkäyksen aiheuttama katkos voi vaikuttaa myös sinun yritykseesi, sanoo Aloke Chakravarty, kumppani ja apulaispuheenjohtaja tutkinnasta, viranomaisvalvonnasta. ja toimihenkilösuojausryhmä asianajotoimisto Snell & Wilmerissä.

Turvatiimien tulisi luoda järjestelmä arvioimaan toimittajien kyberturvallisuuden asentoa, tunnistamaan mahdollisesti hyödynnettävissä olevat heikkoudet ja varmistamaan, että toimittajan riski ei siirry heidän ostajilleen, Chakravarty sanoo. 

"Koska myyjän turvallisuus on nyt nimenomaisesti korostettu, monet toimittajat saattavat markkinoida itseään noudattavan käytäntöjä, mutta yritysten on hyvä tutkia ja painetestata nämä esitykset", hän sanoo. "Lisätarkastusraportointien ja -käytäntöjen etsiminen näiden kyberturvallisuusesitysten ympärille voi tulla osaksi näitä kehittyviä markkinoita."

4. Vahvista, että toimittajasi tukee CSF 2.0:aa

Muun muassa konsultointipalvelut ja kyberturvallisuuden asennonhallintatuotteet on todennäköisesti arvioitava uudelleen ja päivitettävä uusimman CSF:n tukemiseksi. Esimerkiksi perinteisiä hallinto-, riski- ja vaatimustenmukaisuustyökaluja (GRC) tulisi tarkastella uudelleen sen valossa, että NIST painottaa entistä enemmän Govern-toimintoa, sanoo Axio's Caralli.

Lisäksi CSF 2.0 asettaa lisäpaineita toimitusketjun hallintatuotteisiin ja -palveluihin, jotta ne voivat paremmin tunnistaa ja hallita kolmansien osapuolien riskejä, Caralli sanoo.

Hän lisää: "On todennäköistä, että olemassa olevat työkalut ja menetelmät näkevät kehyspäivityksissä mahdollisuuksia parantaa tuotteitaan ja palvelutarjontaansa vastaamaan paremmin laajennettua käytäntöä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started