NIST Cybersecurity Framework 2.0: 4 passaggi per iniziare

Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha rilasciato il ultima bozza del suo apprezzato Cybersecurity Framework (CSF) questa settimana, lasciando le aziende a riflettere su come alcune modifiche significative al documento influenzino i loro programmi di sicurezza informatica.

Tra la nuova funzione “Govern” per incorporare una maggiore supervisione esecutiva e del consiglio di amministrazione della sicurezza informatica e l’espansione delle migliori pratiche oltre quelle solo per le industrie critiche, i team di sicurezza informatica avranno il loro bel da fare, afferma Richard Caralli, consulente senior per la sicurezza informatica presso Axio, una società di gestione delle minacce IT e di tecnologia operativa (OT).

“In molti casi, ciò significherà che le organizzazioni dovranno esaminare attentamente le valutazioni esistenti, le lacune identificate e le attività di riparazione per determinare l’impatto dei cambiamenti del quadro normativo”, afferma, aggiungendo che “emergeranno nuove lacune nei programmi che in precedenza potevano non erano presenti, soprattutto per quanto riguarda la governance della sicurezza informatica e la gestione del rischio della catena di fornitura”.

Il CSF originale, aggiornato l’ultima volta 10 anni fa, mirava a fornire una guida alla sicurezza informatica industrie cruciali per la sicurezza nazionale ed economica. ultima versione espande notevolmente questa visione per creare un quadro di riferimento per qualsiasi organizzazione che intenda migliorare la propria maturità e il proprio atteggiamento in materia di sicurezza informatica. Inoltre, partner e fornitori terzi sono ora un fattore significativo da considerare nel CSF 2.0.

Le organizzazioni devono considerare la sicurezza informatica in modo più sistematico per conformarsi alle normative e implementare le migliori pratiche del documento, ha affermato in una nota Katie Teitler-Santullo, senior cybersecurity strategist di Axonius.

“Rendere attuabili queste linee guida dovrà essere uno sforzo autonomo da parte delle imprese”, ha affermato. “L’orientamento è solo orientamento, finché non diventa legge. Le organizzazioni con le migliori performance si assumeranno la responsabilità di spostarsi verso un approccio al rischio informatico più incentrato sul business”.

Ecco quattro suggerimenti per rendere operativa l’ultima versione del NIST Cybersecurity Framework.

1. Utilizza tutte le risorse del NIST

Il NIST CSF non è solo un documento ma una raccolta di risorse che le aziende possono utilizzare per applicare il quadro al proprio ambiente e ai propri requisiti specifici. I profili organizzativi e di comunità, ad esempio, forniscono alle aziende le basi per valutare (o rivalutare) i propri requisiti, risorse e controlli di sicurezza informatica. Per facilitare l’avvio del processo, il NIST ha anche pubblicato guide QuickStart per segmenti industriali specifici, come le piccole imprese, e per funzioni specifiche, come la gestione del rischio della catena di fornitura della sicurezza informatica (C-SCRM). 

Le risorse del NIST possono aiutare i team a comprendere i cambiamenti, afferma Nick Puetz, amministratore delegato di Protiviti, una società di consulenza IT.

“Questi possono essere strumenti di grande valore che possono aiutare le aziende di tutte le dimensioni, ma sono particolarmente utili per le organizzazioni più piccole”, afferma, aggiungendo che i team dovrebbero “assicurarsi che il gruppo dirigente senior – e anche il consiglio di amministrazione – comprenda come ciò andrà a beneficio del programma [ma] potrebbe creare alcune incoerenze nel punteggio di maturità [o] nel benchmarking a breve termine”.

2. Discutere l'impatto della funzione di "governo" con la leadership

Il NIST CSF 2.0 aggiunge una funzione centrale completamente nuova: Govern. La nuova funzione è un riconoscimento del fatto che l’approccio organizzativo complessivo alla sicurezza informatica deve corrispondere alla strategia dell’azienda, misurata dalle operazioni e gestita dai dirigenti della sicurezza, compreso il consiglio di amministrazione.

I team di sicurezza dovrebbero considerare l'individuazione delle risorse e la gestione delle identità per fornire visibilità sui componenti critici dell'attività di un'azienda e sul modo in cui i lavoratori e i carichi di lavoro interagiscono con tali risorse. Per questo motivo, la funzione di governo fa molto affidamento su altri aspetti del QSC, in particolare sulla funzione “Identifica”. E diversi componenti, come “Ambiente aziendale” e “Strategia di gestione del rischio”, verranno spostati da Identità a Governare, afferma Caralli di Axio.

“Questa nuova funzione supporta l’evoluzione dei requisiti normativi, come ad esempio le regole della SEC [divulgazione della violazione dei dati]., entrato in vigore nel dicembre 2023, è probabilmente un cenno al potenziale di ulteriori azioni normative future", afferma. “E sottolinea il ruolo fiduciario che la leadership svolge nel processo di gestione del rischio di sicurezza informatica”.

3. Considera la sicurezza della tua catena di fornitura

Il rischio della catena di fornitura acquisisce maggiore importanza nel QSC 2.0. Le organizzazioni in genere possono accettare il rischio, evitarlo, tentare di mitigare il rischio, condividere il rischio o trasferire il problema a un'altra organizzazione. I produttori moderni, ad esempio, in genere trasferiscono il rischio informatico ai propri acquirenti, il che significa che un'interruzione causata da un attacco informatico a un fornitore può colpire anche la vostra azienda, afferma Aloke Chakravarty, partner e copresidente delle indagini, delle forze dell'ordine, e gruppo di pratica sulla protezione dei colletti bianchi presso lo studio legale Snell & Wilmer.

I team di sicurezza dovrebbero creare un sistema per valutare la posizione di sicurezza informatica dei fornitori, identificare i punti deboli potenzialmente sfruttabili e verificare che il rischio del fornitore non venga trasferito ai suoi acquirenti, afferma Chakravarty. 

"Poiché la sicurezza dei fornitori è ora espressamente evidenziata, molti fornitori potrebbero presentarsi come aventi pratiche conformi, ma le aziende faranno bene a esaminare attentamente e sottoporre a test di pressione queste dichiarazioni", afferma. “La ricerca di ulteriori rapporti di audit e politiche su queste rappresentazioni della sicurezza informatica potrebbe diventare parte di questo mercato in evoluzione”.

4. Conferma che i tuoi fornitori supportano CSF ​​2.0

I servizi di consulenza e i prodotti per la gestione della sicurezza informatica, tra gli altri, dovranno probabilmente essere rivalutati e aggiornati per supportare l’ultimo CSF. Gli strumenti tradizionali di governance, rischio e conformità (GRC), ad esempio, dovrebbero essere riesaminati alla luce della maggiore enfasi posta dal NIST sulla funzione di governance, afferma Caralli di Axio.

Inoltre, il CSF 2.0 esercita ulteriore pressione sui prodotti e servizi di gestione della catena di fornitura affinché identifichino e controllino meglio i rischi legati a terze parti, afferma Caralli.

Aggiunge: “È probabile che gli strumenti e i metodi esistenti vedranno opportunità negli aggiornamenti del quadro per migliorare i loro prodotti e le offerte di servizi per allinearsi meglio al set di pratiche ampliato”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started