US National Institute of Standards and Technology (NIST) har gitt ut siste utkast til det velrenommerte Cybersecurity Framework (CSF) denne uken, og lar bedrifter tenke over hvordan noen få betydelige endringer i dokumentet påvirker deres cybersikkerhetsprogrammer.
Mellom den nye "Govern"-funksjonen for å innlemme større ledelses- og styretilsyn med cybersikkerhet, og utvidelsen av beste praksis utover bare de for kritiske bransjer, vil cybersikkerhetsteam få jobben sin for dem, sier Richard Caralli, senior cybersikkerhetsrådgiver ved Axio, et trusselhåndteringsfirma for IT og operasjonell teknologi (OT).
"I mange tilfeller vil dette bety at organisasjoner må ta en grundig titt på eksisterende vurderinger, identifiserte hull og utbedringsaktiviteter for å bestemme virkningen av rammeendringene," sier han, og legger til at "nye programhull vil dukke opp som tidligere kan ikke har vært til stede, spesielt med hensyn til styring av nettsikkerhet og risikostyring i forsyningskjeden.»
Den originale CSF, sist oppdatert for 10 år siden, hadde som mål å gi veiledning om nettsikkerhet til bransjer som er kritiske for nasjonal og økonomisk sikkerhet. De siste versjonen utvider denne visjonen i stor grad for å skape et rammeverk for enhver organisasjon som har til hensikt å forbedre sin cybersikkerhetsmodenhet og holdning. I tillegg er tredjepartspartnere og leverandører nå en viktig faktor å vurdere i CSF 2.0.
Organisasjoner må se på cybersikkerhet mer systematisk for å overholde regelverket og implementere beste praksis fra dokumentet, sa Katie Teitler-Santullo, senior cybersikkerhetsstrateg for Axonius, i en uttalelse.
"Å gjøre denne veiledningen handlingskraftig må være en selvgående innsats fra bedrifter," sa hun. «Veiledning er bare veiledning, inntil det blir lov. De beste organisasjonene vil ta på seg å bevege seg mot en mer forretningssentrert tilnærming til cyberrisiko.»
Her er fire tips for operasjonalisering av den nyeste versjonen av NIST Cybersecurity Framework.
1. Bruk alle NIST-ressursene
NIST CSF er ikke bare et dokument, men en samling av ressurser som bedrifter kan bruke til å bruke rammeverket til deres spesifikke miljø og krav. Organisasjons- og fellesskapsprofiler, for eksempel, gir grunnlaget for bedrifter til å vurdere – eller revurdere – deres krav til cybersikkerhet, eiendeler og kontroller. For å gjøre prosessen enklere å starte, har NIST også publisert QuickStart-veiledninger for spesifikke bransjesegmenter, for eksempel småbedrifter, og for spesifikke funksjoner, for eksempel cybersecurity supply chain risk management (C-SCRM).
NIST-ressursene kan hjelpe team med å forstå endringene, sier Nick Puetz, administrerende direktør i Protiviti, et IT-konsulentfirma.
"Dette kan være svært verdifulle verktøy som kan hjelpe selskaper i alle størrelser, men er spesielt nyttige for mindre organisasjoner," sier han, og legger til at team bør "sikre at seniorlederteamet ditt - og til og med styret ditt - forstår hvordan dette vil være til nytte for program [men] kan skape noen modenhetsscoring [eller] benchmarking inkonsekvenser på kort sikt."
2. Diskuter virkningen av "styre" funksjon med lederskap
NIST CSF 2.0 legger til en helt ny kjernefunksjon: Styr. Den nye funksjonen er en erkjennelse av at den overordnede organisatoriske tilnærmingen til cybersikkerhet må samsvare med virksomhetens strategi, målt etter drift og administrert av sikkerhetsledere, inkludert styret.
Sikkerhetsteam bør se etter aktivaoppdagelse og identitetsadministrasjon for å gi innsyn i de kritiske komponentene i en bedrifts virksomhet og hvordan arbeidere og arbeidsbelastninger samhandler med disse eiendelene. På grunn av det er styrefunksjonen sterkt avhengig av andre aspekter av CSF - spesielt "Identifiser"-funksjonen. Og flere komponenter, som «Business Environment» og «Risk Management Strategy», vil bli flyttet fra Identity til Govern, sier Axios Caralli.
"Denne nye funksjonen støtter utviklende regulatoriske krav, som f.eks SEC-reglene [avsløring av datainnbrudd], som trådte i kraft i desember 2023, er sannsynligvis et nikk til potensialet for ytterligere reguleringstiltak, sier han. "Og det fremhever tillitsrollen som lederskap spiller i risikostyringsprosessen for nettsikkerhet."
3. Vurder din forsyningskjedesikkerhet
Forsyningskjederisiko blir mer fremtredende i CSF 2.0. Organisasjoner kan vanligvis akseptere risiko, unngå den, forsøke å redusere risiko, dele risikoen eller overføre problemet til en annen organisasjon. Moderne produsenter, for eksempel, overfører typisk nettrisiko til kjøperne sine, noe som betyr at et strømbrudd forårsaket av et nettangrep på en leverandør også kan påvirke bedriften din, sier Aloke Chakravarty, partner og medleder for undersøkelsene, myndighetene, og praksisgruppe for funksjonærbeskyttelse ved advokatfirmaet Snell & Wilmer.
Sikkerhetsteam bør lage et system for å evaluere leverandørens cybersikkerhetsstilling, identifisere potensielt utnyttbare svakheter og verifisere at leverandørens risiko ikke blir overført til kjøperne deres, sier Chakravarty.
"Fordi leverandørsikkerhet nå er uttrykkelig fremhevet, kan mange leverandører markedsføre seg som å ha samsvarende praksis, men selskaper vil gjøre det klokt i å granske og trykkteste disse representasjonene," sier han. "Å søke ytterligere revisjonsrapportering og retningslinjer rundt disse cybersikkerhetsrepresentasjonene kan bli en del av dette utviklende markedet."
4. Bekreft at leverandørene støtter CSF 2.0
Konsulenttjenester og produkter for håndtering av cybersikkerhet, blant annet, vil sannsynligvis måtte revurderes og oppdateres for å støtte den siste CSF. Tradisjonelle styrings-, risiko- og overholdelsesverktøy (GRC) bør for eksempel revurderes i lys av den økte vekten som legges av NIST på Govern-funksjonen, sier Axios Caralli.
Dessuten legger CSF 2.0 ytterligere press på forsyningskjedestyringsprodukter og -tjenester for bedre å identifisere og kontrollere tredjepartsrisikoen deres, sier Caralli.
Han legger til: "Det er sannsynlig at eksisterende verktøy og metoder vil se muligheter i rammeverksoppdateringene for å forbedre deres produkter og tjenestetilbud for bedre å tilpasse seg det utvidede praksissettet."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- : har
- :er
- :ikke
- 1
- 10
- 2023
- 7
- a
- Aksepterer
- handlings
- handlinger
- Aktiviteter
- legge
- tillegg
- Ytterligere
- Legger
- påvirke
- siden
- sikte
- justere
- Alle
- også
- blant
- an
- og
- En annen
- noen
- Påfør
- tilnærming
- ER
- rundt
- AS
- aspekter
- vurdere
- vurderingene
- eiendel
- Eiendeler
- At
- forsøk
- revisjon
- unngå
- BE
- fordi
- bli
- blir
- vært
- være
- referansemåling
- nytte
- BEST
- beste praksis
- Bedre
- Beyond
- borde
- styret
- virksomhet
- forretningssentrisk
- bedrifter
- men
- Strijela
- by
- CAN
- saker
- forårsaket
- kjede
- Endringer
- Medformann
- samling
- Kom
- samfunnet
- Selskaper
- Selskapet
- samsvar
- overholde
- komponenter
- Bekrefte
- Vurder
- konsulent
- kontroll
- kontroller
- Kjerne
- kunne
- skape
- kritisk
- Kutt
- Cyber angrep
- Cybersecurity
- Desember
- Bestem
- Regissør
- Styremedlemmer
- avsløring
- Funnet
- diskutere
- do
- dokument
- Utkast
- enklere
- økonomisk
- effekt
- innsats
- dukke
- vekt
- håndhevelse
- sikre
- fullstendig
- Miljø
- spesielt
- evaluere
- Selv
- utvikling
- eksempel
- utøvende
- ledere
- eksisterende
- utvidet
- utvides
- utvidelse
- faktor
- Noen få
- Firm
- Til
- Fundament
- fire
- Rammeverk
- fra
- funksjon
- funksjoner
- inntjening
- hull
- få
- styre
- styresett
- Regjeringen
- større
- sterkt
- Gruppe
- veiledning
- Guider
- Hard
- Ha
- å ha
- he
- tungt
- hjelpe
- Fremhevet
- striper
- svært
- Hvordan
- HTTPS
- identifisert
- identifisere
- Identitet
- identitetshåndtering
- Påvirkning
- iverksette
- forbedre
- in
- Inkludert
- uoverensstemmelser
- innlemme
- økt
- bransjer
- industri
- Institute
- Har tenkt
- samhandle
- inn
- Undersøkelser
- utstedelse
- IT
- DET ER
- jpg
- bare
- Siste
- siste
- Law
- advokatfirma
- Ledelse
- forlater
- lett
- Sannsynlig
- Se
- gjøre
- Making
- fikk til
- ledelse
- administrerende
- Administrerende direktør
- Produsenter
- mange
- marked
- Match
- modenhet
- Kan..
- bety
- midler
- metoder
- Minske
- Moderne
- mer
- flytte
- flyttet
- nasjonal
- Trenger
- behov
- Ny
- nick
- nst
- nå
- of
- tilbud
- on
- operasjonell
- Drift
- Muligheter
- or
- organisasjon
- organisasjons
- organisasjoner
- original
- Annen
- andre
- ut
- brudd
- samlet
- oppsyn
- del
- Spesielt
- partner
- partnere
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- Politikk
- potensiell
- potensielt
- praksis
- praksis
- presentere
- press
- tidligere
- prosess
- Produkt
- Produkter
- Profiler
- program
- programmer
- fremtredende
- beskyttelse
- gi
- publisert
- setter
- anerkjennelse
- forskrifter
- regulatorer
- utgitt
- utbedring
- Rapportering
- Krav
- Ressurser
- respekt
- Richard
- Risiko
- risikostyring
- risikoer
- Rolle
- s
- Sa
- sier
- scoring
- SEK
- sikkerhet
- se
- søker
- segmenter
- senior
- senior ledelse
- tjeneste
- Tjenester
- sett
- flere
- Del
- hun
- Kort
- bør
- signifikant
- størrelser
- liten
- småbedrifter
- mindre
- noen
- spesifikk
- Sponset
- standarder
- Begynn
- startet
- Uttalelse
- Steps
- Strategist
- Strategi
- slik
- leverandør
- leverandører
- levere
- forsyningskjeden
- leverandørkrav
- støtte
- Støtter
- system
- Ta
- lag
- lag
- Teknologi
- begrep
- Det
- De
- deres
- Dem
- seg
- Disse
- tredjeparts
- denne
- De
- trussel
- tips
- til
- tok
- verktøy
- mot
- tradisjonelle
- overføre
- overføres
- typisk
- forstå
- til
- oppdatert
- oppdateringer
- upon
- us
- bruke
- nyttig
- Verdifull
- leverandør
- leverandører
- verifisere
- versjon
- synlighet
- syn
- svakheter
- uke
- VI VIL
- hvilken
- vil
- med
- Arbeid
- arbeidere
- år
- Din
- zephyrnet
