Kerangka Keamanan Siber NIST 2.0: 4 Langkah untuk Memulai

Institut Standar dan Teknologi Nasional AS (NIST) telah merilis draf terbaru dari Kerangka Keamanan Siber (CSF) yang dihormati minggu ini, sehingga perusahaan harus memikirkan bagaimana beberapa perubahan signifikan pada dokumen tersebut mempengaruhi program keamanan siber mereka.

Dengan adanya fungsi “Govern” yang baru untuk menggabungkan pengawasan eksekutif dan dewan yang lebih besar terhadap keamanan siber, dan perluasan praktik terbaik yang lebih dari sekadar praktik untuk industri-industri penting, tim keamanan siber akan mempunyai pekerjaan yang sesuai untuk mereka, kata Richard Caralli, penasihat keamanan siber senior di Axio, sebuah firma manajemen ancaman TI dan teknologi operasional (OT).

“Dalam banyak kasus, hal ini berarti bahwa organisasi harus mencermati penilaian yang ada, mengidentifikasi kesenjangan, dan kegiatan remediasi untuk menentukan dampak perubahan kerangka kerja,” katanya, seraya menambahkan bahwa “kesenjangan program baru akan muncul yang sebelumnya mungkin akan muncul. belum ada, terutama yang berkaitan dengan tata kelola keamanan siber dan manajemen risiko rantai pasokan.”

CSF asli, terakhir diperbarui 10 tahun lalu, bertujuan untuk memberikan panduan keamanan siber industri yang penting bagi keamanan nasional dan ekonomi. itu versi terbaru memperluas visi tersebut dengan menciptakan kerangka kerja bagi organisasi mana pun yang ingin meningkatkan kematangan dan postur keamanan sibernya. Selain itu, mitra dan pemasok pihak ketiga kini menjadi faktor penting yang perlu dipertimbangkan dalam CSF 2.0.

Organisasi perlu melihat keamanan siber secara lebih sistematis untuk mematuhi peraturan dan menerapkan praktik terbaik dari dokumen tersebut, kata Katie Teitler-Santullo, ahli strategi keamanan siber senior di Axonius, dalam sebuah pernyataan.

“Membuat pedoman ini dapat ditindaklanjuti perlu menjadi upaya mandiri dari dunia usaha,” katanya. “Pedoman tinggal bimbingan, sampai menjadi undang-undang. Organisasi dengan kinerja terbaik akan mengambil tindakan sendiri untuk beralih ke pendekatan yang lebih berpusat pada bisnis terhadap risiko dunia maya.”

Berikut empat tips untuk operasionalisasi Kerangka Keamanan Siber NIST versi terbaru.

1. Gunakan Semua Sumber Daya NIST

CSF NIST bukan hanya sebuah dokumen namun kumpulan sumber daya yang dapat digunakan perusahaan untuk menerapkan kerangka kerja tersebut pada lingkungan dan persyaratan spesifik mereka. Profil organisasi dan komunitas, misalnya, memberikan landasan bagi perusahaan untuk menilai – atau menilai kembali – persyaratan, aset, dan kontrol keamanan siber mereka. Untuk mempermudah memulai proses, NIST juga telah menerbitkan panduan QuickStart untuk segmen industri tertentu, seperti usaha kecil, dan untuk fungsi tertentu, seperti manajemen risiko rantai pasokan keamanan siber (C-SCRM). 

Sumber daya NIST dapat membantu tim memahami perubahan tersebut, kata Nick Puetz, direktur pelaksana di Protiviti, sebuah perusahaan konsultan TI.

“Ini bisa menjadi alat yang sangat berharga yang dapat membantu perusahaan dari semua ukuran namun sangat berguna untuk organisasi yang lebih kecil,” katanya, seraya menambahkan bahwa tim harus “memastikan tim kepemimpinan senior Anda – dan bahkan dewan direksi Anda – memahami bagaimana hal ini akan bermanfaat bagi perusahaan. program [tetapi] dapat menciptakan beberapa penilaian kedewasaan [atau] inkonsistensi penetapan tolok ukur dalam jangka pendek.”

2. Diskusikan Dampak Fungsi “Memerintah” Dengan Kepemimpinan

NIST CSF 2.0 menambahkan fungsi inti yang sepenuhnya baru: Govern. Fungsi baru ini merupakan pengakuan bahwa pendekatan organisasi secara keseluruhan terhadap keamanan siber harus sesuai dengan strategi bisnis, diukur berdasarkan operasi, dan dikelola oleh eksekutif keamanan, termasuk dewan direksi.

Tim keamanan harus memperhatikan penemuan aset dan manajemen identitas untuk memberikan visibilitas ke dalam komponen penting bisnis perusahaan dan bagaimana pekerja dan beban kerja berinteraksi dengan aset tersebut. Oleh karena itu, fungsi Tata Kelola sangat bergantung pada aspek lain dari CSF — khususnya, fungsi “Identifikasi”. Dan beberapa komponen, seperti “Lingkungan Bisnis” dan “Strategi Manajemen Risiko,” akan dipindahkan dari Identitas ke Tata Kelola, kata Caralli dari Axio.

“Fungsi baru ini mendukung persyaratan peraturan yang terus berkembang, seperti aturan SEC [pengungkapan pelanggaran data]., yang mulai berlaku pada Desember 2023, kemungkinan besar merupakan indikasi potensi tindakan regulasi tambahan di masa depan,” katanya. “Dan hal ini menyoroti peran fidusia yang dimainkan oleh kepemimpinan dalam proses manajemen risiko keamanan siber.”

3. Pertimbangkan Keamanan Rantai Pasokan Anda

Risiko rantai pasokan menjadi lebih menonjol di CSF 2.0. Organisasi biasanya dapat menerima risiko, menghindarinya, berupaya memitigasi risiko, membagi risiko, atau mentransfer masalah ke organisasi lain. Produsen modern, misalnya, biasanya mentransfer risiko dunia maya kepada pembelinya, yang berarti pemadaman listrik yang disebabkan oleh serangan siber terhadap pemasok juga dapat berdampak pada perusahaan Anda, kata Aloke Chakravarty, partner dan salah satu ketua investigasi, penegakan pemerintah, dan kelompok praktik perlindungan kerah putih di firma hukum Snell & Wilmer.

Tim keamanan harus menciptakan sistem untuk mengevaluasi postur keamanan siber pemasok, mengidentifikasi kelemahan yang berpotensi dieksploitasi, dan memverifikasi bahwa risiko pemasok tidak dialihkan ke pembeli mereka, kata Chakravarty. 

“Karena keamanan vendor kini sangat disoroti, banyak vendor mungkin memasarkan diri mereka sebagai vendor yang melakukan praktik yang sesuai, namun perusahaan sebaiknya meneliti dan menguji representasi ini,” katanya. “Mencari pelaporan audit tambahan dan kebijakan seputar representasi keamanan siber dapat menjadi bagian dari pasar yang terus berkembang ini.”

4. Konfirmasikan Vendor Anda Mendukung CSF 2.0

Layanan konsultasi dan produk manajemen postur keamanan siber, antara lain, mungkin perlu dievaluasi ulang dan diperbarui untuk mendukung CSF terbaru. Alat tata kelola, risiko, dan kepatuhan (GRC) yang tradisional, misalnya, harus dikaji ulang mengingat semakin besarnya penekanan yang diberikan oleh NIST pada fungsi Tata Kelola, kata Caralli dari Axio.

Selain itu, CSF 2.0 memberikan tekanan tambahan pada produk dan layanan manajemen rantai pasokan untuk mengidentifikasi dan mengendalikan risiko pihak ketiga dengan lebih baik, kata Caralli.

Dia menambahkan: “Kemungkinan besar alat dan metode yang ada akan melihat peluang dalam pembaruan kerangka kerja untuk meningkatkan penawaran produk dan layanan mereka agar lebih selaras dengan rangkaian praktik yang diperluas.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started