המכון הלאומי לתקנים וטכנולוגיה של ארה"ב (NIST) פרסם את ה הטיוטה האחרונה של מסגרת אבטחת הסייבר הנחשבת שלה (CSF) השבוע, מה שמשאיר לחברות לחשוב כיצד כמה שינויים משמעותיים במסמך משפיעים על תוכניות אבטחת הסייבר שלהן.
בין פונקציית "הממשל" החדשה לשילוב פיקוח רב יותר של מנהלים ושל דירקטוריון על אבטחת סייבר, לבין הרחבת שיטות העבודה המומלצות מעבר לאלה של תעשיות קריטיות בלבד, צוותי אבטחת סייבר יסתיימו בעבודתם עבורם, אומר ריצ'רד קאראלי, יועץ אבטחת סייבר בכיר ב- Axio, חברת IT וטכנולוגיה תפעולית (OT) לניהול איומים.
"במקרים רבים, המשמעות היא שארגונים יצטרכו להסתכל היטב על הערכות קיימות, פערים שזוהו ופעילויות תיקון כדי לקבוע את ההשפעה של שינויי המסגרת", הוא אומר, ומוסיף כי "יצוצו פערים חדשים בתוכנית שעשויים בעבר להיות לא היו נוכחים, במיוחד ביחס לממשל אבטחת סייבר וניהול סיכונים בשרשרת האספקה".
ה-CSF המקורי, שעודכן לאחרונה לפני 10 שנים, נועד לספק הנחיות אבטחת סייבר ל תעשיות קריטיות לביטחון הלאומי והכלכלי. ה הגרסה העדכנית ביותר מרחיב מאוד את החזון הזה כדי ליצור מסגרת לכל ארגון שמתכוון לשפר את הבשלות והיציבה שלו בתחום אבטחת הסייבר. בנוסף, שותפים וספקים של צד שלישי הם כעת גורם משמעותי שיש לקחת בחשבון ב-CSF 2.0.
ארגונים צריכים להסתכל על אבטחת סייבר בצורה שיטתית יותר כדי לציית לתקנות וליישם את השיטות הטובות ביותר מהמסמך, אמרה קייטי טייטלר-סנטולו, אסטרטגית אבטחת סייבר בכירה של Axonius, בהצהרה.
"הפיכת ההדרכה הזו לניתנת לפעולה תצטרך להיות מאמץ עצמי של עסקים", אמרה. "הדרכה היא רק הדרכה, עד שהיא הופכת לחוק. הארגונים בעלי הביצועים הטובים ביותר ייקחו על עצמם להתקדם לעבר גישה ממוקדת יותר בעסקים לסיכון סייבר".
להלן ארבעה טיפים להפעלה של הגרסה האחרונה של מסגרת אבטחת הסייבר של NIST.
1. השתמש בכל משאבי ה-NIST
NIST CSF הוא לא רק מסמך אלא אוסף של משאבים שחברות יכולות להשתמש בהם כדי ליישם את המסגרת לסביבה ולדרישות הספציפיות שלהן. פרופילים ארגוניים וקהילתיים, למשל, מספקים את הבסיס לחברות להעריך - או להעריך מחדש - את דרישות אבטחת הסייבר, הנכסים והבקרות שלהן. כדי להקל על התחלת התהליך, NIST פרסמה גם מדריכי QuickStart עבור מגזרי תעשייה ספציפיים, כגון עסקים קטנים, ועבור פונקציות ספציפיות, כגון ניהול סיכונים בשרשרת אספקת סייבר (C-SCRM).
משאבי ה-NIST יכולים לעזור לצוותים להבין את השינויים, אומר ניק פוץ, מנהל מנכ"ל Protiviti, חברת ייעוץ IT.
"אלה יכולים להיות כלים בעלי ערך רב שיכולים לעזור לחברות בכל הגדלים, אבל הם שימושיים במיוחד עבור ארגונים קטנים יותר", הוא אומר, ומוסיף שצוותים צריכים "להבטיח שצוות ההנהגה הבכיר שלך - ואפילו הדירקטוריון שלך - יבינו כיצד זה יועיל ל- התוכנית [אך] יכולה ליצור חוסר עקביות של ניקוד בשלות [או] בטווח הקצר".
2. לדון בהשפעה של תפקוד "למשול" עם מנהיגות
ה-NIST CSF 2.0 מוסיף פונקציית ליבה חדשה לגמרי: Gover. הפונקציה החדשה היא הכרה בכך שהגישה הארגונית הכוללת לאבטחת סייבר צריכה להתאים לאסטרטגיה של העסק, הנמדדת לפי תפעול, ומנוהלת על ידי מנהלי אבטחה, כולל הדירקטוריון.
צוותי אבטחה צריכים להסתכל על גילוי נכסים וניהול זהויות כדי לספק נראות למרכיבים הקריטיים של העסק של החברה וכיצד עובדים ועומסי עבודה מתקשרים עם נכסים אלה. בגלל זה, פונקציית הממשל מסתמכת במידה רבה על היבטים אחרים של ה-CSF - בפרט, פונקציית ה"זיהוי". וכמה מרכיבים, כמו "סביבה עסקית" ו"אסטרטגיית ניהול סיכונים", יועברו מזהות לממשל, אומר Caralli של Axio.
"פונקציה חדשה זו תומכת בדרישות רגולטוריות מתפתחות, כגון כללי ה-SEC [גילוי הפרת נתונים], שנכנס לתוקף בדצמבר 2023, הוא ככל הנראה קריצה לפוטנציאל לפעולות רגולטוריות נוספות שיגיעו", הוא אומר. "וזה מדגיש את תפקיד הנאמנות שממלאת מנהיגות בתהליך ניהול סיכוני אבטחת סייבר."
3. שקול את אבטחת שרשרת האספקה שלך
סיכון שרשרת האספקה מקבל יותר בולטות ב-CSF 2.0. ארגונים יכולים בדרך כלל לקבל סיכון, להימנע ממנו, לנסות לצמצם סיכון, לחלוק את הסיכון או להעביר את הנושא לארגון אחר. יצרנים מודרניים, למשל, מעבירים בדרך כלל סיכוני סייבר לקונים שלהם, מה שאומר שהפסקה הנגרמת על ידי מתקפת סייבר על ספק יכולה להשפיע גם על החברה שלך, אומר אלוקה צ'קווארטי, שותף ויו"ר משותף בחקירות, האכיפה הממשלתית, וקבוצת עיסוק להגנת צווארון לבן במשרד עורכי הדין Snell & Wilmer.
צוותי אבטחה צריכים ליצור מערכת להעריך את עמדת אבטחת הסייבר של הספקים, לזהות חולשות שעלולות להיות ניתנות לניצול, ולוודא שהסיכון של הספק אינו מועבר לקונים שלהם, אומר Chakravarty.
"מכיוון שאבטחת הספקים מודגשת כעת במפורש, ספקים רבים עשויים לשווק את עצמם כבעלי נהלים תואמים, אבל טוב יעשו חברות אם יבדקו את הייצוגים האלה ויבדקו אותם בלחץ", הוא אומר. "חיפוש אחר דיווחי ביקורת ומדיניות נוספים סביב ייצוגי אבטחת סייבר אלה עשוי להפוך לחלק מהשוק המתפתח הזה."
4. אשר את תמיכת הספקים שלך ב-CSF 2.0
שירותי ייעוץ ומוצרי ניהול תנוחות אבטחת סייבר, בין היתר, יצטרכו כנראה להעריך מחדש ולעדכן כדי לתמוך ב-CSF העדכני ביותר. כלים מסורתיים של ממשל, סיכון ותאימות (GRC), למשל, צריכים להיבחן מחדש לאור הדגש המוגבר של NIST על פונקציית הממשל, אומר Caralli של Axio.
יתרה מכך, ה-CSF 2.0 מפעיל לחץ נוסף על המוצרים והשירותים לניהול שרשרת האספקה כדי לזהות ולשלוט טוב יותר בסיכוני צד שלישי שלהם, אומר קאראלי.
הוא מוסיף: "סביר להניח שהכלים והשיטות הקיימות יראו הזדמנויות בעדכוני המסגרת לשיפור המוצרים והשירותים שלהם כדי להתיישר טוב יותר עם מערך הפרקטיקה המורחב".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- :יש ל
- :הוא
- :לֹא
- 1
- 10
- 2023
- 7
- a
- לְקַבֵּל
- ניתן לפעולה
- פעולות
- פעילויות
- מוסיף
- תוספת
- נוסף
- מוסיף
- להשפיע על
- לִפנֵי
- מכוון
- ליישר
- תעשיות
- גם
- בין
- an
- ו
- אחר
- כל
- החל
- גישה
- ARE
- סביב
- AS
- היבטים
- לְהַעֲרִיך
- הערכות
- נכס
- נכסים
- At
- ניסיון
- בדיקה
- לְהִמָנַע
- BE
- כי
- להיות
- הופך להיות
- היה
- להיות
- בהשוואות
- תועלת
- הטוב ביותר
- שיטות עבודה מומלצות
- מוטב
- מעבר
- לוּחַ
- דירקטוריון
- עסקים
- ממוקד לעסקים
- עסקים
- אבל
- קונים
- by
- CAN
- מקרים
- גרם
- שרשרת
- שינויים
- יו"ר משותף
- אוסף
- איך
- קהילה
- חברות
- חברה
- הענות
- להיענות
- רכיבים
- לאשר
- לשקול
- ייעוץ
- לִשְׁלוֹט
- בקרות
- ליבה
- יכול
- לִיצוֹר
- קריטי
- חותך
- התקפת סייבר
- אבטחת סייבר
- דֵצֶמבֶּר
- לקבוע
- מְנַהֵל
- דירקטורים
- חשיפה
- תגלית
- לדון
- do
- מסמך
- טיוטה
- קל יותר
- כַּלְכָּלִי
- השפעה
- מאמץ
- לצאת
- דגש
- אַכִיפָה
- לְהַבטִיחַ
- לַחֲלוּטִין
- סביבה
- במיוחד
- להעריך
- אֲפִילוּ
- מתפתח
- דוגמה
- מנהלים
- כעובדים בכירים
- קיימים
- מורחב
- מתרחב
- הרחבה
- גורם
- מעטים
- פירמה
- בעד
- קרן
- ארבע
- מסגרת
- החל מ-
- פונקציה
- פונקציות
- רווחים
- פערים
- לקבל
- ממשלה
- ממשל
- ממשלה
- יותר
- מאוד
- קְבוּצָה
- הדרכה
- מדריך
- קשה
- יש
- יש
- he
- בִּכְבֵדוּת
- לעזור
- מודגש
- פסים
- מאוד
- איך
- HTTPS
- מזוהה
- לזהות
- זהות
- ניהול זהות
- פְּגִיעָה
- ליישם
- לשפר
- in
- כולל
- חוסר עקביות
- בע"מ
- גדל
- תעשיות
- תעשייה
- מכון
- מתכוון
- אינטראקציה
- אל תוך
- חקירות
- סוגיה
- IT
- שֶׁלָה
- jpg
- רק
- אחרון
- האחרון
- חוק
- משרד עורכי דין
- מנהיגות
- עזיבה
- אוֹר
- סביר
- נראה
- לעשות
- עשייה
- הצליח
- ניהול
- ניהול
- מנכ"ל
- התעשיינים
- רב
- שוק
- להתאים
- בגרות
- מאי..
- אומר
- אומר
- שיטות
- להקל
- מודרני
- יותר
- המהלך
- נִרגָשׁ
- לאומי
- צורך
- צרכי
- חדש
- חתך
- ניסט
- עַכשָׁיו
- of
- הצעות
- on
- מבצעי
- תפעול
- הזדמנויות
- or
- ארגון
- אִרְגוּנִי
- ארגונים
- מְקוֹרִי
- אחר
- אחרים
- הַחוּצָה
- הפסקת
- מקיף
- מֶחדָל
- חלק
- מסוים
- שותף
- שותפים
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- משחק
- מדיניות
- פוטנציאל
- פוטנציאל
- תרגול
- פרקטיקות
- להציג
- לחץ
- קוֹדֶם
- תהליך
- המוצר
- מוצרים
- פרופילים
- תָכְנִית
- תוכניות
- בולטות
- .
- לספק
- לאור
- מכניס
- הכרה
- תקנון
- רגולטורים
- שוחרר
- תיקון
- דווח
- דרישות
- משאבים
- כבוד
- ריצ'רד
- הסיכון
- ניהול סיכונים
- סיכונים
- תפקיד
- s
- אמר
- אומר
- מניה
- ה-SEC
- אבטחה
- לִרְאוֹת
- מחפשים
- מגזרים
- לחצני מצוקה לפנסיונרים
- מנהיגות בכירה
- שרות
- שירותים
- סט
- כמה
- שיתוף
- היא
- קצר
- צריך
- משמעותי
- גדל
- קטן
- עסקים קטנים
- קטן יותר
- כמה
- ספציפי
- ממומן
- תקנים
- התחלה
- החל
- הצהרה
- צעדים
- תַכסִיסָן
- אִסטרָטֶגִיָה
- כזה
- להתחנן
- ספקים
- לספק
- שרשרת אספקה
- ניהול שרשרת הספקה
- תמיכה
- תומך
- מערכת
- לקחת
- נבחרת
- צוותי
- טכנולוגיה
- טווח
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- אלה
- צד שלישי
- זֶה
- אלה
- איום
- טיפים
- ל
- לקח
- כלים
- לקראת
- מסורתי
- להעביר
- הועבר
- בדרך כלל
- להבין
- עד
- מְעוּדכָּן
- עדכונים
- על
- us
- להשתמש
- מועיל
- בעל ערך
- מוכר
- ספקים
- לאמת
- גרסה
- ראות
- חזון
- חולשות
- שבוע
- טוֹב
- אשר
- יצטרך
- עם
- תיק עבודות
- עובדים
- שנים
- זפירנט