NIST Cybersecurity Framework 2.0: 4 steg för att komma igång

US National Institute of Standards and Technology (NIST) har släppt senaste utkastet till dess välrenommerade Cybersecurity Framework (CSF) denna vecka, vilket låter företag fundera över hur några betydande ändringar i dokumentet påverkar deras cybersäkerhetsprogram.

Mellan den nya "Govern"-funktionen för att införliva större lednings- och styrelsetillsyn av cybersäkerhet, och utvidgningen av bästa praxis bortom bara de för kritiska branscher, kommer cybersäkerhetsteamen att få sitt arbete slut för dem, säger Richard Caralli, senior cybersäkerhetsrådgivare på Axio, ett hothanteringsföretag inom IT och operativ teknologi (OT).

"I många fall kommer detta att innebära att organisationer måste ta en noggrann titt på befintliga bedömningar, identifierade luckor och saneringsaktiviteter för att fastställa effekten av ramändringarna", säger han och tillägger att "nya programluckor kommer att uppstå som tidigare kan inte har funnits, särskilt med avseende på cybersäkerhetsstyrning och riskhantering i försörjningskedjan."

Den ursprungliga CSF, som senast uppdaterades för 10 år sedan, syftade till att ge cybersäkerhetsvägledning till industrier som är avgörande för nationell och ekonomisk säkerhet. De senaste versionen utökar den visionen avsevärt för att skapa ett ramverk för alla organisationer som avser att förbättra sin mognad och ställning för cybersäkerhet. Dessutom är tredjepartspartners och leverantörer nu en viktig faktor att ta hänsyn till i CSF 2.0.

Organisationer måste titta på cybersäkerhet mer systematiskt för att följa regelverk och implementera bästa praxis från dokumentet, säger Katie Teitler-Santullo, senior cybersäkerhetsstrateg för Axonius, i ett uttalande.

"Att göra denna vägledning genomförbar kommer att behöva vara en självgående ansträngning från företag," sa hon. "Vägledning är bara vägledning, tills det blir lag. De bäst presterande organisationerna kommer att ta på sig att gå mot en mer affärscentrerad strategi för cyberrisk."

Här är fyra tips för operationalisering av den senaste versionen av NIST Cybersecurity Framework.

1. Använd alla NIST-resurser

NIST CSF är inte bara ett dokument utan en samling resurser som företag kan använda för att tillämpa ramverket på deras specifika miljö och krav. Organisations- och samhällsprofiler utgör till exempel grunden för företag att bedöma – eller omvärdera – sina krav, tillgångar och kontroller på cybersäkerhet. För att göra processen enklare att starta har NIST även publicerat QuickStart-guider för specifika branschsegment, såsom småföretag, och för specifika funktioner, såsom cybersecurity Supply Chain Risk Management (C-SCRM). 

NIST-resurserna kan hjälpa team att förstå förändringarna, säger Nick Puetz, VD på Protiviti, ett IT-konsultföretag.

"Dessa kan vara mycket värdefulla verktyg som kan hjälpa företag av alla storlekar men är särskilt användbara för mindre organisationer", säger han och tillägger att team bör "se till att ditt ledande ledningsteam - och även din styrelse - förstår hur detta kommer att gynna program [men] skulle kunna skapa vissa mognadspoäng [eller] benchmarking inkonsekvenser på kort sikt."

2. Diskutera effekten av "styr"-funktionen med ledarskap

NIST CSF 2.0 lägger till en helt ny kärnfunktion: Styr. Den nya funktionen är ett erkännande av att det övergripande organisatoriska tillvägagångssättet för cybersäkerhet måste matcha verksamhetens strategi, mätt efter verksamhet och hanterad av säkerhetschefer, inklusive styrelsen.

Säkerhetsteam bör se till att hitta tillgångar och identitetshantering för att ge insyn i de kritiska komponenterna i ett företags verksamhet och hur arbetare och arbetsbelastningar interagerar med dessa tillgångar. På grund av det förlitar sig styrfunktionen i hög grad på andra aspekter av CSF - i synnerhet funktionen "Identifiera". Och flera komponenter, som "Business Environment" och "Risk Management Strategy", kommer att flyttas från Identity till Govern, säger Axios Caralli.

“Denna nya funktion stöder föränderliga regulatoriska krav, som t.ex SEC-reglerna [avslöjande av dataintrång], som trädde i kraft i december 2023, är sannolikt en vink till potentialen för ytterligare regulatoriska åtgärder att komma, säger han. "Och det belyser den förtroenderoll som ledarskap spelar i riskhanteringsprocessen för cybersäkerhet."

3. Tänk på din leveranskedjas säkerhet

Risk i försörjningskedjan blir mer framträdande i CSF 2.0. Organisationer kan vanligtvis acceptera risker, undvika dem, försöka minska risken, dela risken eller överföra problemet till en annan organisation. Moderna tillverkare, till exempel, överför vanligtvis cyberrisk till sina köpare, vilket innebär att ett avbrott orsakat av en cyberattack mot en leverantör också kan påverka ditt företag, säger Aloke Chakravarty, partner och medordförande i utredningarna, statlig verkställighet, och tjänstemannaskyddsgrupp på advokatbyrån Snell & Wilmer.

Säkerhetsteam bör skapa ett system för att utvärdera leverantörers cybersäkerhetsställning, identifiera potentiellt exploateringsbara svagheter och verifiera att leverantörens risk inte överförs till deras köpare, säger Chakravarty. 

"Eftersom leverantörssäkerhet nu uttryckligen lyfts fram, kan många leverantörer marknadsföra sig som att de har överensstämmelse, men företag kommer att göra klokt i att granska och trycktesta dessa representationer", säger han. "Att leta efter ytterligare revisionsrapporter och policyer kring dessa cybersäkerhetsrepresentationer kan bli en del av denna växande marknad."

4. Bekräfta att din leverantör stöder CSF 2.0

Konsulttjänster och produkter för hantering av cybersäkerhet, bland annat, kommer sannolikt att behöva omvärderas och uppdateras för att stödja den senaste CSF. Traditionella verktyg för styrning, risk och efterlevnad (GRC) bör till exempel omprövas i ljuset av den ökade tonvikten som NIST lägger på Govern-funktionen, säger Axios Caralli.

Dessutom sätter CSF 2.0 ytterligare press på produkter och tjänster för försörjningskedjehantering för att bättre identifiera och kontrollera deras tredjepartsrisker, säger Caralli.

Han tillägger: "Det är troligt att befintliga verktyg och metoder kommer att se möjligheter i ramuppdateringarna för att förbättra sina produkter och tjänsteerbjudanden för att bättre anpassa sig till den utökade praxisuppsättningen."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started