Institutul Național de Standarde și Tehnologie din SUA (NIST) a lansat cea mai recentă versiune a cadrului său de securitate cibernetică (CSF) în această săptămână, lăsând companiile să se gândească la modul în care câteva modificări semnificative aduse documentului le afectează programele de securitate cibernetică.
Între noua funcție „Guvernează” pentru a încorpora o supraveghere mai mare a securității cibernetice a executivului și a consiliului de administrație și extinderea celor mai bune practici dincolo de cele pentru industriile critice, echipele de securitate cibernetică vor avea nevoie de munca lor, spune Richard Caralli, consilier senior pentru securitate cibernetică la Axio, o firmă de management al amenințărilor IT și tehnologie operațională (OT).
„În multe cazuri, acest lucru va însemna că organizațiile trebuie să analizeze cu atenție evaluările existente, lacunele identificate și activitățile de remediere pentru a determina impactul modificărilor cadrului”, spune el, adăugând că „vor apărea noi lacune ale programelor care anterior ar putea nu au fost prezente, în special în ceea ce privește guvernanța securității cibernetice și managementul riscului lanțului de aprovizionare.”
CSF inițial, actualizat ultima dată acum 10 ani, își propunea să ofere îndrumări în domeniul securității cibernetice industrii critice pentru securitatea națională și economică. ultima versiune extinde foarte mult această viziune pentru a crea un cadru pentru orice organizație care intenționează să-și îmbunătățească maturitatea și postura în domeniul securității cibernetice. În plus, partenerii și furnizorii terți sunt acum un factor important de luat în considerare în CSF 2.0.
Organizațiile trebuie să se uite la securitatea cibernetică în mod mai sistematic pentru a respecta reglementările și pentru a implementa cele mai bune practici din document, a declarat Katie Teitler-Santullo, strateg senior în domeniul securității cibernetice pentru Axonius, într-o declarație.
„Facerea acestor îndrumări aplicabile va trebui să fie un efort autopropulsat din partea întreprinderilor”, a spus ea. „Îndrumarea este doar îndrumare, până când devine lege. Organizațiile cu cele mai bune performanțe își vor asuma responsabilitatea de a trece către o abordare mai centrată pe afaceri a riscului cibernetic.”
Iată patru sfaturi pentru operaționalizarea celei mai recente versiuni a NIST Cybersecurity Framework.
1. Utilizați toate resursele NIST
NIST CSF nu este doar un document, ci o colecție de resurse pe care companiile le pot folosi pentru a aplica cadrul la mediul și cerințele lor specifice. Profilurile organizaționale și ale comunității, de exemplu, oferă baza pentru ca companiile să își evalueze – sau să-și reevalueze – cerințele, activele și controalele de securitate cibernetică. Pentru a face procesul mai ușor de început, NIST a publicat, de asemenea, ghiduri QuickStart pentru anumite segmente ale industriei, cum ar fi întreprinderile mici, și pentru funcții specifice, cum ar fi managementul riscului lanțului de aprovizionare în domeniul securității cibernetice (C-SCRM).
Resursele NIST pot ajuta echipele să înțeleagă schimbările, spune Nick Puetz, director general la Protiviti, o firmă de consultanță IT.
„Aceste instrumente pot fi extrem de valoroase care pot ajuta companiile de toate dimensiunile, dar sunt utile în special pentru organizațiile mai mici”, spune el, adăugând că echipele ar trebui să „asigure că echipa dvs. de conducere senior – și chiar consiliul de administrație – înțelege modul în care acest lucru va beneficia programului [dar] ar putea crea anumite scoruri de maturitate [sau] inconsecvențe de benchmarking pe termen scurt.”
2. Discutați impactul funcției „guvernare” cu conducerea
NIST CSF 2.0 adaugă o funcție de bază complet nouă: Govern. Noua funcție este o recunoaștere a faptului că abordarea organizațională generală a securității cibernetice trebuie să se potrivească cu strategia afacerii, măsurată prin operațiuni și gestionată de directori de securitate, inclusiv de consiliul de administrație.
Echipele de securitate ar trebui să caute descoperirea activelor și managementul identității pentru a oferi vizibilitate asupra componentelor critice ale afacerii unei companii și a modului în care lucrătorii și sarcinile de lucru interacționează cu acele active. Din acest motiv, funcția de guvernare se bazează în mare măsură pe alte aspecte ale CSF - în special pe funcția „Identificare”. Iar mai multe componente, cum ar fi „Mediul de afaceri” și „Strategia de management al riscului”, vor fi mutate de la Identity la Guvern, spune Caralli de la Axio.
„Această nouă funcție acceptă cerințele de reglementare în evoluție, cum ar fi regulile SEC [dezvăluirea încălcării datelor]., care a intrat în vigoare în decembrie 2023, este probabil un semn din cap către potențialul unor acțiuni de reglementare suplimentare care urmează”, spune el. „Și evidențiază rolul fiduciar pe care conducerea îl joacă în procesul de gestionare a riscului de securitate cibernetică.”
3. Luați în considerare securitatea lanțului dvs. de aprovizionare
Riscul lanțului de aprovizionare câștigă mai multă importanță în CSF 2.0. De obicei, organizațiile pot accepta riscul, îl pot evita, pot încerca să atenueze riscul, să-l împărtășească sau să transfere problema unei alte organizații. Producătorii moderni, de exemplu, transferă în mod obișnuit riscul cibernetic către cumpărătorii lor, ceea ce înseamnă că o întrerupere cauzată de un atac cibernetic asupra unui furnizor poate afecta și compania dvs., spune Aloke Chakravarty, partener și co-președinte al investigațiilor, autorităților guvernamentale, și grupul de practică de protecție a gulerelor albe la firma de avocatură Snell & Wilmer.
Echipele de securitate ar trebui să creeze un sistem pentru a evalua postura furnizorilor de securitate cibernetică, pentru a identifica punctele slabe potențial exploatate și pentru a verifica dacă riscul furnizorului nu este transferat cumpărătorilor lor, spune Chakravarty.
„Deoarece securitatea furnizorilor este acum evidențiată în mod expres, mulți vânzători se pot prezenta ca având practici conforme, dar companiile vor face bine să examineze și să testeze presiunea acestor reprezentări”, spune el. „Căutarea unor rapoarte și politici suplimentare de audit în jurul acestor reprezentări de securitate cibernetică poate deveni parte a acestei piețe în evoluție.”
4. Confirmați că furnizorii dvs. acceptă CSF 2.0
Serviciile de consultanță și produsele de management al posturii de securitate cibernetică, printre altele, vor trebui probabil reevaluate și actualizate pentru a sprijini cel mai recent CSF. Instrumentele tradiționale de guvernanță, risc și conformitate (GRC), de exemplu, ar trebui reexaminate în lumina accentului sporit pus de NIST pe funcția de guvernare, spune Caralli de la Axio.
În plus, CSF 2.0 pune presiune suplimentară asupra produselor și serviciilor de management al lanțului de aprovizionare pentru a identifica și controla mai bine riscurile terților, spune Caralli.
El adaugă: „Este probabil ca instrumentele și metodele existente să vadă oportunități în actualizările cadrului de a-și îmbunătăți produsele și ofertele de servicii pentru a se alinia mai bine la setul de practici extins.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started
- :are
- :este
- :nu
- 1
- 10
- 2023
- 7
- a
- Accept
- acționabil
- acțiuni
- activităţi de
- adăugare
- plus
- Suplimentar
- Adaugă
- afecta
- în urmă
- vizează
- alinia
- TOATE
- de asemenea
- printre
- an
- și
- O alta
- Orice
- Aplică
- abordare
- SUNT
- în jurul
- AS
- aspecte
- evalua
- evaluări
- activ
- Bunuri
- At
- încercare
- de audit
- evita
- BE
- deoarece
- deveni
- devine
- fost
- fiind
- analiza comparativă
- beneficia
- CEL MAI BUN
- Cele mai bune practici
- Mai bine
- Dincolo de
- bord
- Consiliu de Administratie
- afaceri
- centrat pe afaceri
- întreprinderi
- dar
- cumpărători
- by
- CAN
- cazuri
- cauzată
- lanţ
- Modificări
- Copreședinte
- colectare
- cum
- comunitate
- Companii
- companie
- conformitate
- se conforma
- componente
- Confirma
- Lua în considerare
- consultant
- Control
- controale
- Nucleu
- ar putea
- crea
- critic
- Tăiat
- Atac cibernetic
- Securitate cibernetică
- decembrie
- Determina
- Director
- Directorii
- dezvăluire
- descoperire
- discuta
- do
- document
- proiect
- mai ușor
- Economic
- efect
- efort
- apărea
- accent
- executare
- asigura
- în întregime
- Mediu inconjurator
- mai ales
- evalua
- Chiar
- evoluție
- exemplu
- executiv
- directori
- existent
- extins
- se extinde
- expansiune
- factor
- puțini
- Firmă
- Pentru
- Fundație
- patru
- Cadru
- din
- funcţie
- funcții
- câștig
- lacune
- obține
- guverna
- guvernare
- Guvern
- mai mare
- foarte mult
- grup
- îndrumare
- Ghiduri
- Greu
- Avea
- având în
- he
- puternic
- ajutor
- Evidențiat
- highlights-uri
- extrem de
- Cum
- HTTPS
- identificat
- identifica
- Identitate
- gestionarea identității
- Impactul
- punerea în aplicare a
- îmbunătăţi
- in
- Inclusiv
- incoerențe
- incorpora
- a crescut
- industrii
- industrie
- Institut
- Intenționând
- interacţiona
- în
- Investigații
- problema
- IT
- ESTE
- jpg
- doar
- Nume
- Ultimele
- Drept
- firma de avocatură
- Conducere
- lăsând
- ușoară
- Probabil
- Uite
- face
- Efectuarea
- gestionate
- administrare
- de conducere
- Managing Director
- Producătorii
- multe
- Piață
- Meci
- scadență
- Mai..
- însemna
- mijloace
- Metode
- diminua
- Modern
- mai mult
- muta
- mutat
- național
- Nevoie
- nevoilor
- Nou
- nick
- nist
- acum
- of
- ofertele
- on
- operațional
- Operațiuni
- Oportunităţi
- or
- organizație
- de organizare
- organizații
- original
- Altele
- Altele
- afară
- pană
- global
- Supraveghere
- parte
- special
- partener
- parteneri
- Plato
- Informații despre date Platon
- PlatoData
- joacă
- Politicile
- potenţial
- potenţial
- practică
- practicile
- prezenta
- presiune
- în prealabil
- proces
- Produs
- Produse
- Profiluri
- Program
- Programe
- proeminenţă
- protecţie
- furniza
- publicat
- puts
- recunoaştere
- regulament
- autoritățile de reglementare
- eliberat
- remedierea
- Raportarea
- Cerinţe
- Resurse
- respect
- Richard
- Risc
- de gestionare a riscurilor
- Riscurile
- Rol
- s
- Said
- spune
- notare
- SEC
- securitate
- vedea
- caută
- segmente
- senior
- conducere superioară
- serviciu
- Servicii
- set
- câteva
- Distribuie
- ea
- Pantaloni scurți
- să
- semnificativ
- dimensiuni
- mic
- mici afaceri
- mai mici
- unele
- specific
- Sponsorizat
- standarde
- Începe
- început
- Declarație
- paşi
- Strateg
- Strategie
- astfel de
- furnizorul
- furnizori
- livra
- lanțului de aprovizionare
- managementul lanțului de aprovizionare
- a sustine
- Sprijină
- sistem
- Lua
- echipă
- echipe
- Tehnologia
- durată
- acea
- lor
- Lor
- se
- Acestea
- terț
- acest
- aceste
- amenințare
- Sfaturi
- la
- a luat
- Unelte
- spre
- tradiţional
- transfer
- transferat
- tipic
- înţelege
- până la
- actualizat
- actualizări
- pe
- us
- utilizare
- util
- Valoros
- vânzător
- furnizori
- verifica
- versiune
- vizibilitate
- viziune
- puncte slabe
- săptămână
- BINE
- care
- voi
- cu
- Apartamente
- muncitorii
- ani
- Ta
- zephyrnet
