NIST Cybersecurity Framework 2.0: 4 שלבים לתחילת העבודה

המכון הלאומי לתקנים וטכנולוגיה של ארה"ב (NIST) פרסם את ה הטיוטה האחרונה של מסגרת אבטחת הסייבר הנחשבת שלה (CSF) השבוע, מה שמשאיר לחברות לחשוב כיצד כמה שינויים משמעותיים במסמך משפיעים על תוכניות אבטחת הסייבר שלהן.

בין פונקציית "הממשל" החדשה לשילוב פיקוח רב יותר של מנהלים ושל דירקטוריון על אבטחת סייבר, לבין הרחבת שיטות העבודה המומלצות מעבר לאלה של תעשיות קריטיות בלבד, צוותי אבטחת סייבר יסתיימו בעבודתם עבורם, אומר ריצ'רד קאראלי, יועץ אבטחת סייבר בכיר ב- Axio, חברת IT וטכנולוגיה תפעולית (OT) לניהול איומים.

"במקרים רבים, המשמעות היא שארגונים יצטרכו להסתכל היטב על הערכות קיימות, פערים שזוהו ופעילויות תיקון כדי לקבוע את ההשפעה של שינויי המסגרת", הוא אומר, ומוסיף כי "יצוצו פערים חדשים בתוכנית שעשויים בעבר להיות לא היו נוכחים, במיוחד ביחס לממשל אבטחת סייבר וניהול סיכונים בשרשרת האספקה".

ה-CSF המקורי, שעודכן לאחרונה לפני 10 שנים, נועד לספק הנחיות אבטחת סייבר ל תעשיות קריטיות לביטחון הלאומי והכלכלי. ה הגרסה העדכנית ביותר מרחיב מאוד את החזון הזה כדי ליצור מסגרת לכל ארגון שמתכוון לשפר את הבשלות והיציבה שלו בתחום אבטחת הסייבר. בנוסף, שותפים וספקים של צד שלישי הם כעת גורם משמעותי שיש לקחת בחשבון ב-CSF 2.0.

ארגונים צריכים להסתכל על אבטחת סייבר בצורה שיטתית יותר כדי לציית לתקנות וליישם את השיטות הטובות ביותר מהמסמך, אמרה קייטי טייטלר-סנטולו, אסטרטגית אבטחת סייבר בכירה של Axonius, בהצהרה.

"הפיכת ההדרכה הזו לניתנת לפעולה תצטרך להיות מאמץ עצמי של עסקים", אמרה. "הדרכה היא רק הדרכה, עד שהיא הופכת לחוק. הארגונים בעלי הביצועים הטובים ביותר ייקחו על עצמם להתקדם לעבר גישה ממוקדת יותר בעסקים לסיכון סייבר".

להלן ארבעה טיפים להפעלה של הגרסה האחרונה של מסגרת אבטחת הסייבר של NIST.

1. השתמש בכל משאבי ה-NIST

NIST CSF הוא לא רק מסמך אלא אוסף של משאבים שחברות יכולות להשתמש בהם כדי ליישם את המסגרת לסביבה ולדרישות הספציפיות שלהן. פרופילים ארגוניים וקהילתיים, למשל, מספקים את הבסיס לחברות להעריך - או להעריך מחדש - את דרישות אבטחת הסייבר, הנכסים והבקרות שלהן. כדי להקל על התחלת התהליך, NIST פרסמה גם מדריכי QuickStart עבור מגזרי תעשייה ספציפיים, כגון עסקים קטנים, ועבור פונקציות ספציפיות, כגון ניהול סיכונים בשרשרת אספקת סייבר (C-SCRM). 

משאבי ה-NIST יכולים לעזור לצוותים להבין את השינויים, אומר ניק פוץ, מנהל מנכ"ל Protiviti, חברת ייעוץ IT.

"אלה יכולים להיות כלים בעלי ערך רב שיכולים לעזור לחברות בכל הגדלים, אבל הם שימושיים במיוחד עבור ארגונים קטנים יותר", הוא אומר, ומוסיף שצוותים צריכים "להבטיח שצוות ההנהגה הבכיר שלך - ואפילו הדירקטוריון שלך - יבינו כיצד זה יועיל ל- התוכנית [אך] יכולה ליצור חוסר עקביות של ניקוד בשלות [או] בטווח הקצר".

2. לדון בהשפעה של תפקוד "למשול" עם מנהיגות

ה-NIST CSF 2.0 מוסיף פונקציית ליבה חדשה לגמרי: Gover. הפונקציה החדשה היא הכרה בכך שהגישה הארגונית הכוללת לאבטחת סייבר צריכה להתאים לאסטרטגיה של העסק, הנמדדת לפי תפעול, ומנוהלת על ידי מנהלי אבטחה, כולל הדירקטוריון.

צוותי אבטחה צריכים להסתכל על גילוי נכסים וניהול זהויות כדי לספק נראות למרכיבים הקריטיים של העסק של החברה וכיצד עובדים ועומסי עבודה מתקשרים עם נכסים אלה. בגלל זה, פונקציית הממשל מסתמכת במידה רבה על היבטים אחרים של ה-CSF - בפרט, פונקציית ה"זיהוי". וכמה מרכיבים, כמו "סביבה עסקית" ו"אסטרטגיית ניהול סיכונים", יועברו מזהות לממשל, אומר Caralli של Axio.

"פונקציה חדשה זו תומכת בדרישות רגולטוריות מתפתחות, כגון כללי ה-SEC [גילוי הפרת נתונים], שנכנס לתוקף בדצמבר 2023, הוא ככל הנראה קריצה לפוטנציאל לפעולות רגולטוריות נוספות שיגיעו", הוא אומר. "וזה מדגיש את תפקיד הנאמנות שממלאת מנהיגות בתהליך ניהול סיכוני אבטחת סייבר."

3. שקול את אבטחת שרשרת האספקה ​​שלך

סיכון שרשרת האספקה ​​מקבל יותר בולטות ב-CSF 2.0. ארגונים יכולים בדרך כלל לקבל סיכון, להימנע ממנו, לנסות לצמצם סיכון, לחלוק את הסיכון או להעביר את הנושא לארגון אחר. יצרנים מודרניים, למשל, מעבירים בדרך כלל סיכוני סייבר לקונים שלהם, מה שאומר שהפסקה הנגרמת על ידי מתקפת סייבר על ספק יכולה להשפיע גם על החברה שלך, אומר אלוקה צ'קווארטי, שותף ויו"ר משותף בחקירות, האכיפה הממשלתית, וקבוצת עיסוק להגנת צווארון לבן במשרד עורכי הדין Snell & Wilmer.

צוותי אבטחה צריכים ליצור מערכת להעריך את עמדת אבטחת הסייבר של הספקים, לזהות חולשות שעלולות להיות ניתנות לניצול, ולוודא שהסיכון של הספק אינו מועבר לקונים שלהם, אומר Chakravarty. 

"מכיוון שאבטחת הספקים מודגשת כעת במפורש, ספקים רבים עשויים לשווק את עצמם כבעלי נהלים תואמים, אבל טוב יעשו חברות אם יבדקו את הייצוגים האלה ויבדקו אותם בלחץ", הוא אומר. "חיפוש אחר דיווחי ביקורת ומדיניות נוספים סביב ייצוגי אבטחת סייבר אלה עשוי להפוך לחלק מהשוק המתפתח הזה."

4. אשר את תמיכת הספקים שלך ב-CSF 2.0

שירותי ייעוץ ומוצרי ניהול תנוחות אבטחת סייבר, בין היתר, יצטרכו כנראה להעריך מחדש ולעדכן כדי לתמוך ב-CSF העדכני ביותר. כלים מסורתיים של ממשל, סיכון ותאימות (GRC), למשל, צריכים להיבחן מחדש לאור הדגש המוגבר של NIST על פונקציית הממשל, אומר Caralli של Axio.

יתרה מכך, ה-CSF 2.0 מפעיל לחץ נוסף על המוצרים והשירותים לניהול שרשרת האספקה ​​כדי לזהות ולשלוט טוב יותר בסיכוני צד שלישי שלהם, אומר קאראלי.

הוא מוסיף: "סביר להניח שהכלים והשיטות הקיימות יראו הזדמנויות בעדכוני המסגרת לשיפור המוצרים והשירותים שלהם כדי להתיישר טוב יותר עם מערך הפרקטיקה המורחב".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started