NIST Cybersecurity Framework 2.0: 4 stappen om aan de slag te gaan

Het Amerikaanse National Institute of Standards and Technology (NIST) heeft de nieuwste versie van het gerenommeerde Cybersecurity Framework (CSF) Deze week laten bedrijven zich afvragen hoe een paar belangrijke wijzigingen in het document hun cyberbeveiligingsprogramma's beïnvloeden.

Tussen de nieuwe ‘regeringsfunctie’, die meer toezicht van de uitvoerende en bestuursorganen op cyberbeveiliging zal omvatten, en de uitbreiding van de best practices die verder gaan dan alleen die voor kritieke sectoren, zullen cyberbeveiligingsteams het nodige werk voor zich hebben, zegt Richard Caralli, senior cyberbeveiligingsadviseur bij Axio, een IT- en operationele technologie (OT)-bedreigingsbeheerbedrijf.

“In veel gevallen zal dit betekenen dat organisaties goed moeten kijken naar bestaande beoordelingen, geïdentificeerde lacunes en herstelactiviteiten om de impact van de raamwerkveranderingen te bepalen”, zegt hij, eraan toevoegend dat “nieuwe lacunes in het programma zullen ontstaan ​​die voorheen misschien niet aanwezig zijn geweest, vooral met betrekking tot het cyberbeveiligingsbeheer en het risicobeheer van de toeleveringsketen.”

Het oorspronkelijke CSF, dat tien jaar geleden voor het laatst werd bijgewerkt, was bedoeld om richtlijnen op het gebied van cyberbeveiliging te bieden industrieën die van cruciaal belang zijn voor de nationale en economische veiligheid. De laatste versie breidt die visie enorm uit om een ​​raamwerk te creëren voor elke organisatie die haar volwassenheid en houding op het gebied van cyberbeveiliging wil verbeteren. Bovendien zijn externe partners en leveranciers nu een belangrijke factor waarmee rekening moet worden gehouden in het CSF 2.0.

Organisaties moeten systematischer naar cybersecurity kijken om aan de regelgeving te voldoen en de best practices uit het document te implementeren, zegt Katie Teitler-Santullo, senior cybersecurity-strateeg bij Axonius, in een verklaring.

“Het uitvoerbaar maken van deze richtlijnen zal een zelfstandige inspanning van bedrijven moeten zijn”, zei ze. “Leiding is slechts leiding, totdat het wet wordt. De best presterende organisaties zullen de taak op zich nemen om te evolueren naar een meer bedrijfsgerichte benadering van cyberrisico’s.”

Hier zijn vier tips voor het operationeel maken van de nieuwste versie van het NIST Cybersecurity Framework.

1. Gebruik alle NIST-bronnen

Het NIST CSF is niet zomaar een document, maar een verzameling bronnen die bedrijven kunnen gebruiken om het raamwerk toe te passen op hun specifieke omgeving en vereisten. Organisatie- en gemeenschapsprofielen vormen bijvoorbeeld de basis voor bedrijven om hun cyberbeveiligingsvereisten, middelen en controles te beoordelen (of opnieuw te beoordelen). Om het proces eenvoudiger te starten, heeft NIST ook QuickStart-handleidingen gepubliceerd voor specifieke industriesegmenten, zoals kleine bedrijven, en voor specifieke functies, zoals cybersecurity supply chain risk management (C-SCRM). 

De middelen van NIST kunnen teams helpen de veranderingen te begrijpen, zegt Nick Puetz, managing director bij Protiviti, een IT-adviesbureau.

“Dit kunnen zeer waardevolle tools zijn die bedrijven van elke omvang kunnen helpen, maar vooral nuttig zijn voor kleinere organisaties”, zegt hij, eraan toevoegend dat teams “ervoor moeten zorgen dat uw senior leiderschapsteam – en zelfs uw raad van bestuur – begrijpt hoe dit ten goede zal komen aan de programma [maar] zou op de korte termijn voor wat volwassenheidsscores [of] benchmarking-inconsistenties kunnen zorgen.”

2. Bespreek de impact van de ‘regeringsfunctie’ met leiderschap

De NIST CSF 2.0 voegt een geheel nieuwe kernfunctie toe: Regeren. De nieuwe functie is een erkenning dat de algehele organisatorische benadering van cyberbeveiliging moet aansluiten bij de strategie van het bedrijf, gemeten aan de hand van de activiteiten en beheerd door beveiligingsmanagers, inclusief de raad van bestuur.

Beveiligingsteams moeten zich richten op het ontdekken van activa en identiteitsbeheer om inzicht te bieden in de kritieke componenten van de bedrijfsvoering van een bedrijf en in de manier waarop werknemers en werklasten omgaan met die activa. Daarom leunt de bestuursfunctie sterk op andere aspecten van het CB – in het bijzonder de ‘identificeer’-functie. En verschillende componenten, zoals 'Business Environment' en 'Risk Management Strategy', zullen worden verplaatst van Identity naar Govern, zegt Caralli van Axio.

“Deze nieuwe functie ondersteunt de veranderende wettelijke vereisten, zoals de SEC-regels voor het openbaar maken van gegevenslekken, dat in december 2023 van kracht werd, is waarschijnlijk een knipoog naar het potentieel voor aanvullende regelgevende maatregelen”, zegt hij. “En het benadrukt de fiduciaire rol die leiderschap speelt in het cyberbeveiligingsrisicobeheerproces.”

3. Denk na over de beveiliging van uw toeleveringsketen

Het risico van de toeleveringsketen krijgt meer aandacht in het CSF 2.0. Organisaties kunnen doorgaans risico's accepteren, vermijden, proberen risico's te beperken, het risico delen of het probleem overdragen aan een andere organisatie. Moderne fabrikanten dragen het cyberrisico doorgaans over op hun afnemers, wat betekent dat een storing veroorzaakt door een cyberaanval op een leverancier ook gevolgen kan hebben voor uw bedrijf, zegt Aloke Chakravarty, partner en medevoorzitter van het onderzoek, overheidshandhaving. en praktijkgroep witteboordenbescherming bij advocatenkantoor Snell & Wilmer.

Beveiligingsteams moeten een systeem opzetten om de cyberbeveiligingspositie van leveranciers te evalueren, potentieel exploiteerbare zwakke punten te identificeren en te verifiëren dat het risico van de leverancier niet wordt overgedragen op hun kopers, zegt Chakravarty. 

“Omdat de veiligheid van leveranciers nu uitdrukkelijk onder de aandacht wordt gebracht, kunnen veel leveranciers zichzelf op de markt brengen als conformerende praktijken, maar bedrijven zullen er goed aan doen deze verklaringen nauwkeurig te onderzoeken en aan een druktest te onderwerpen”, zegt hij. “Het zoeken naar aanvullende auditrapportage en beleid rond deze cybersecurity-representaties kan onderdeel worden van deze zich ontwikkelende markt.”

4. Bevestig dat uw leveranciers CSF 2.0 ondersteunen

Onder meer adviesdiensten en producten voor cyberbeveiligingspostuurbeheer zullen waarschijnlijk opnieuw moeten worden geëvalueerd en bijgewerkt om de nieuwste CSF te ondersteunen. Traditionele instrumenten voor governance, risico en compliance (GRC) zouden bijvoorbeeld opnieuw moeten worden onderzocht in het licht van de toegenomen nadruk die NIST legt op de bestuursfunctie, zegt Caralli van Axio.

Bovendien legt de CSF 2.0 extra druk op producten en diensten voor supply chain management om de risico's voor derden beter te identificeren en te beheersen, zegt Caralli.

Hij voegt eraan toe: “Het is waarschijnlijk dat bestaande tools en methoden kansen zullen zien in de raamwerkupdates om hun producten en dienstenaanbod te verbeteren en beter af te stemmen op de uitgebreide praktijk.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started