Ramy cyberbezpieczeństwa NIST 2.0: 4 kroki, aby rozpocząć

Amerykański Narodowy Instytut Standardów i Technologii (NIST) opublikował najnowszy projekt cieszących się dużym uznaniem ram cyberbezpieczeństwa (CSF) w tym tygodniu, pozostawiając firmom rozważenie, w jaki sposób kilka znaczących zmian w dokumencie wpłynie na ich programy cyberbezpieczeństwa.

Pomiędzy nową funkcją „Zarządzania”, obejmującą większy nadzór kadry kierowniczej i zarządu nad cyberbezpieczeństwem, a rozszerzeniem najlepszych praktyk poza te dotyczące branż krytycznych, zespoły ds. cyberbezpieczeństwa będą miały mnóstwo pracy, mówi Richard Caralli, starszy doradca ds. cyberbezpieczeństwa w firmie Axio, firma zajmująca się zarządzaniem zagrożeniami w zakresie technologii informatycznych i operacyjnych (OT).

„W wielu przypadkach będzie to oznaczać, że organizacje będą musiały dokładnie przyjrzeć się istniejącym ocenom, zidentyfikowanym lukom i działaniom naprawczym, aby określić wpływ zmian ramowych” – mówi, dodając, że „pojawią się nowe luki w programach, które wcześniej mogły nie byli obecni, szczególnie w odniesieniu do zarządzania bezpieczeństwem cybernetycznym i zarządzania ryzykiem w łańcuchu dostaw”.

Pierwotny CSF, ostatnio aktualizowany 10 lat temu, miał na celu zapewnienie wskazówek dotyczących cyberbezpieczeństwa branże krytyczne dla bezpieczeństwa narodowego i gospodarczego, Ostatnia wersja znacznie poszerza tę wizję, aby stworzyć ramy dla każdej organizacji, która zamierza poprawić swoją dojrzałość i postawę w zakresie cyberbezpieczeństwa. Ponadto partnerzy zewnętrzni i dostawcy są obecnie istotnym czynnikiem, który należy uwzględnić w CSF 2.0.

Organizacje muszą bardziej systematycznie przyglądać się cyberbezpieczeństwu, aby zachować zgodność z przepisami i wdrożyć najlepsze praktyki zawarte w dokumencie, stwierdziła w oświadczeniu Katie Teitler-Santullo, starsza specjalistka ds. strategii cyberbezpieczeństwa w firmie Axonius.

„Sprawienie, że wytyczne te staną się praktyczne, będzie musiało być samodzielnym wysiłkiem przedsiębiorstw” – stwierdziła. „Wytyczne są tylko wskazówkami, dopóki nie staną się prawem. Organizacje osiągające najlepsze wyniki podejmą się przejścia w kierunku bardziej biznesowego podejścia do ryzyka cybernetycznego”.

Oto cztery wskazówki dotyczące operacjonalizacji najnowszej wersji Ram Cyberbezpieczeństwa NIST.

1. Wykorzystaj wszystkie zasoby NIST

NIST CSF to nie tylko dokument, ale zbiór zasobów, z których firmy mogą korzystać, aby zastosować ramy do swojego specyficznego środowiska i wymagań. Na przykład profile organizacyjne i społecznościowe stanowią dla firm podstawę do oceny — lub ponownej oceny — wymagań, zasobów i mechanizmów kontroli w zakresie cyberbezpieczeństwa. Aby ułatwić rozpoczęcie procesu, NIST opublikował także przewodniki QuickStart dla określonych segmentów branży, takich jak małe firmy, oraz dla określonych funkcji, takich jak zarządzanie ryzykiem w łańcuchu dostaw w zakresie cyberbezpieczeństwa (C-SCRM). 

Zasoby NIST mogą pomóc zespołom zrozumieć zmiany, mówi Nick Puetz, dyrektor zarządzający w Protiviti, firmie konsultingowej IT.

„Mogą to być bardzo cenne narzędzia, które mogą pomóc firmom każdej wielkości, ale są szczególnie przydatne w przypadku mniejszych organizacji” – mówi, dodając, że zespoły powinny „upewnić się, że kadra kierownicza wyższego szczebla – a nawet zarząd – rozumie, jakie korzyści przyniesie to firmie programu [ale] może w krótkim okresie spowodować pewne niespójności w punktacji dojrzałości lub w benchmarkach.”

2. Omów wpływ funkcji „rządzenia” z przywództwem

NIST CSF 2.0 dodaje zupełnie nową podstawową funkcję: Zarządzaj. Nowa funkcja polega na uznaniu, że ogólne podejście organizacyjne do cyberbezpieczeństwa musi być zgodne ze strategią biznesową, mierzoną operacjami i zarządzaną przez kadrę kierowniczą ds. bezpieczeństwa, w tym zarząd.

Zespoły ds. bezpieczeństwa powinny przyjrzeć się odkrywaniu zasobów i zarządzaniu tożsamością, aby zapewnić wgląd w krytyczne elementy działalności firmy oraz interakcję pracowników i obciążeń z tymi zasobami. Z tego powodu funkcja Zarządzaj w dużym stopniu opiera się na innych aspektach CSF – w szczególności na funkcji „Identyfikuj”. Kilka komponentów, takich jak „Środowisko biznesowe” i „Strategia zarządzania ryzykiem”, zostanie przeniesionych z modułu Identity do Govern, mówi Caralli z Axio.

„Ta nowa funkcja wspiera zmieniające się wymagania regulacyjne, takie jak zasady SEC [ujawnianie naruszeń danych]., które weszło w życie w grudniu 2023 r., prawdopodobnie stanowi ukłon w stronę potencjału podjęcia dodatkowych działań regulacyjnych w przyszłości” – mówi. „Podkreśla także powierniczą rolę, jaką odgrywa przywództwo w procesie zarządzania ryzykiem cyberbezpieczeństwa”.

3. Weź pod uwagę bezpieczeństwo swojego łańcucha dostaw

Ryzyko łańcucha dostaw zyskuje na znaczeniu w CSF 2.0. Organizacje zazwyczaj mogą zaakceptować ryzyko, uniknąć go, spróbować złagodzić ryzyko, podzielić się ryzykiem lub przenieść problem do innej organizacji. Na przykład współcześni producenci zazwyczaj przenoszą ryzyko cybernetyczne na swoich nabywców, co oznacza, że ​​awaria spowodowana cyberatakiem na dostawcę może mieć wpływ również na Twoją firmę, mówi Aloke Chakravarty, partner i współprzewodniczący ds. dochodzeń, organów ds. egzekwowania prawa przez rząd, oraz grupa praktyków ochrony pracowników umysłowych w kancelarii prawnej Snell & Wilmer.

Zespoły ds. bezpieczeństwa powinny stworzyć system oceny stanu cyberbezpieczeństwa dostawców, identyfikowania potencjalnie możliwych do wykorzystania słabych punktów i sprawdzania, czy ryzyko dostawcy nie jest przenoszone na nabywców, mówi Chakravarty. 

„Ponieważ bezpieczeństwo dostawców jest obecnie wyraźnie podkreślane, wielu dostawców może reklamować się jako stosujący praktyki zgodne z przepisami, ale firmy dobrze zrobią, analizując i poddając testom presję te oświadczenia” – mówi. „Poszukiwanie dodatkowych raportów z audytów i zasad dotyczących reprezentacji cyberbezpieczeństwa może stać się częścią tego rozwijającego się rynku”.

4. Potwierdź, że Twoi dostawcy wspierają CSF 2.0

Między innymi usługi doradcze i produkty do zarządzania stanem cyberbezpieczeństwa będą prawdopodobnie wymagać ponownej oceny i aktualizacji, aby zapewnić obsługę najnowszego CSF. Na przykład tradycyjne narzędzia zarządzania, ryzyka i zgodności (GRC) powinny zostać ponownie przeanalizowane w świetle zwiększonego nacisku, jaki NIST kładzie na funkcję zarządzania, mówi Caralli z Axio.

Co więcej, CSF 2.0 wywiera dodatkową presję na produkty i usługi zarządzania łańcuchem dostaw, aby lepiej identyfikowały i kontrolowały ryzyko stron trzecich, mówi Caralli.

Dodaje: „Jest prawdopodobne, że istniejące narzędzia i metody dostrzegą w aktualizacjach ram możliwości w celu ulepszenia ofert produktów i usług w celu lepszego dostosowania do rozszerzonego zestawu praktyk”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started