NIST Cybersecurity Framework 2.0: 4 ขั้นตอนในการเริ่มต้น

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ได้เผยแพร่ ร่างล่าสุดของ Cybersecurity Framework (CSF) ที่ได้รับการยอมรับอย่างดี ในสัปดาห์นี้ ปล่อยให้บริษัทต่างๆ พิจารณาว่าการเปลี่ยนแปลงที่สำคัญบางประการในเอกสารส่งผลต่อโปรแกรมความปลอดภัยทางไซเบอร์ของตนอย่างไร

ระหว่างฟังก์ชัน “Govern” ใหม่เพื่อรวมการควบคุมดูแลความปลอดภัยทางไซเบอร์ของผู้บริหารและคณะกรรมการที่มากขึ้น และการขยายแนวปฏิบัติที่ดีที่สุดนอกเหนือจากแนวทางปฏิบัติสำหรับอุตสาหกรรมที่สำคัญ ทีมรักษาความปลอดภัยทางไซเบอร์จะตัดงานของพวกเขาออกไป Richard Caralli ที่ปรึกษาอาวุโสด้านความปลอดภัยทางไซเบอร์ของ Axio บริษัทจัดการภัยคุกคามด้านไอทีและเทคโนโลยีการดำเนินงาน (OT)

“ในหลายกรณี นี่จะหมายความว่าองค์กรต่างๆ ต้องพิจารณาอย่างหนักที่การประเมินที่มีอยู่ ระบุช่องว่าง และกิจกรรมการแก้ไข เพื่อพิจารณาผลกระทบของการเปลี่ยนแปลงกรอบการทำงาน” เขากล่าว พร้อมเสริมว่า “ช่องว่างของโปรแกรมใหม่จะเกิดขึ้นซึ่งก่อนหน้านี้อาจ โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับการกำกับดูแลความปลอดภัยทางไซเบอร์และการบริหารความเสี่ยงของห่วงโซ่อุปทาน”

CSF ดั้งเดิมได้รับการอัปเดตครั้งล่าสุดเมื่อ 10 ปีที่แล้ว โดยมีวัตถุประสงค์เพื่อให้คำแนะนำด้านความปลอดภัยทางไซเบอร์ อุตสาหกรรมที่มีความสำคัญต่อความมั่นคงของประเทศและเศรษฐกิจ. รุ่นล่าสุด ขยายวิสัยทัศน์ดังกล่าวอย่างมากเพื่อสร้างกรอบการทำงานสำหรับองค์กรใดๆ ที่ตั้งใจที่จะปรับปรุงวุฒิภาวะและสถานะด้านความปลอดภัยทางไซเบอร์ นอกจากนี้ พันธมิตรและซัพพลายเออร์จากภายนอกถือเป็นปัจจัยสำคัญที่ต้องพิจารณาใน CSF 2.0

Katie Teitler-Santullo นักยุทธศาสตร์อาวุโสด้านความปลอดภัยทางไซเบอร์ของ Axonius กล่าวว่าองค์กรต่างๆ จำเป็นต้องพิจารณาความปลอดภัยทางไซเบอร์อย่างเป็นระบบมากขึ้นเพื่อให้สอดคล้องกับกฎระเบียบและนำแนวทางปฏิบัติที่ดีที่สุดไปใช้

“การนำแนวทางนี้ไปปฏิบัติได้จะต้องอาศัยความพยายามจากภาคธุรกิจ” เธอกล่าว “การชี้นำเป็นเพียงการชี้นำ จนกระทั่งมันกลายเป็นกฎหมาย องค์กรที่มีผลงานดีอันดับต้นๆ จะดำเนินการด้วยตนเองเพื่อก้าวไปสู่แนวทางที่เน้นธุรกิจเป็นศูนย์กลางมากขึ้นเพื่อรับมือกับความเสี่ยงทางไซเบอร์”

เคล็ดลับสี่ประการในการดำเนินงาน NIST Cybersecurity Framework เวอร์ชันล่าสุดมีดังนี้

1. ใช้ทรัพยากร NIST ทั้งหมด

NIST CSF ไม่ได้เป็นเพียงเอกสาร แต่เป็นการรวบรวมทรัพยากรที่บริษัทสามารถใช้เพื่อนำกรอบงานไปใช้กับสภาพแวดล้อมและข้อกำหนดเฉพาะของตนได้ ตัวอย่างเช่น โปรไฟล์องค์กรและชุมชนจะเป็นรากฐานสำหรับบริษัทต่างๆ ในการประเมิน หรือประเมินใหม่ ข้อกำหนด สินทรัพย์ และการควบคุมด้านความปลอดภัยทางไซเบอร์ เพื่อให้กระบวนการเริ่มต้นง่ายขึ้น NIST ยังได้เผยแพร่คู่มือ QuickStart สำหรับกลุ่มอุตสาหกรรมเฉพาะ เช่น ธุรกิจขนาดเล็ก และสำหรับฟังก์ชันเฉพาะ เช่น การจัดการความเสี่ยงในห่วงโซ่อุปทานด้านความปลอดภัยทางไซเบอร์ (C-SCRM) 

ทรัพยากรของ NIST สามารถช่วยให้ทีมเข้าใจการเปลี่ยนแปลงได้ Nick Puetz กรรมการผู้จัดการของ Protiviti ซึ่งเป็นบริษัทที่ปรึกษาด้านไอทีกล่าว

“สิ่งเหล่านี้อาจเป็นเครื่องมือที่มีคุณค่าสูงที่สามารถช่วยบริษัททุกขนาด แต่มีประโยชน์อย่างยิ่งสำหรับองค์กรขนาดเล็ก” เขากล่าว พร้อมเสริมว่าทีมควร “ทำให้ทีมผู้นำอาวุโสของคุณ — และแม้แต่คณะกรรมการบริหารของคุณ — เข้าใจว่าสิ่งนี้จะเป็นประโยชน์ต่ออย่างไร โปรแกรม [แต่] อาจสร้างการให้คะแนนวุฒิภาวะ [หรือ] ความไม่สอดคล้องกันในการเปรียบเทียบในระยะสั้น”

2. อภิปรายผลกระทบของฟังก์ชัน "การปกครอง" ด้วยความเป็นผู้นำ

NIST CSF 2.0 เพิ่มฟังก์ชันหลักใหม่ทั้งหมด: Govern ฟังก์ชันใหม่นี้เป็นการยอมรับว่าแนวทางองค์กรโดยรวมในเรื่องความปลอดภัยทางไซเบอร์จำเป็นต้องสอดคล้องกับกลยุทธ์ของธุรกิจ วัดจากการดำเนินงาน และจัดการโดยผู้บริหารด้านความปลอดภัย รวมถึงคณะกรรมการบริหาร

ทีมรักษาความปลอดภัยควรพิจารณาการค้นหาสินทรัพย์และการจัดการข้อมูลประจำตัวเพื่อให้มองเห็นองค์ประกอบที่สำคัญของธุรกิจของบริษัท และวิธีที่พนักงานและปริมาณงานโต้ตอบกับสินทรัพย์เหล่านั้น ด้วยเหตุนี้ ฟังก์ชัน Govern จึงอาศัยลักษณะอื่นๆ ของ CSF เป็นอย่างมาก โดยเฉพาะฟังก์ชัน "ระบุ" และองค์ประกอบหลายอย่าง เช่น “สภาพแวดล้อมทางธุรกิจ” และ “กลยุทธ์การบริหารความเสี่ยง” จะถูกย้ายจากอัตลักษณ์ไปยังการควบคุมดูแล Caralli จาก Axio กล่าว

“ฟังก์ชันใหม่นี้รองรับข้อกำหนดด้านกฎระเบียบที่เปลี่ยนแปลงไป เช่น กฎ ก.ล.ต. [การเปิดเผยข้อมูลละเมิด]ซึ่งมีผลบังคับใช้ในเดือนธันวาคม พ.ศ. 2023 มีแนวโน้มว่าจะมีการดำเนินการด้านกฎระเบียบเพิ่มเติมในอนาคต” เขากล่าว “และเป็นการเน้นย้ำถึงบทบาทที่ได้รับความไว้วางใจของผู้นำในกระบวนการบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์”

3. พิจารณาความปลอดภัยของห่วงโซ่อุปทานของคุณ

ความเสี่ยงด้านห่วงโซ่อุปทานมีความโดดเด่นมากขึ้นใน CSF 2.0 โดยทั่วไปองค์กรสามารถยอมรับความเสี่ยง หลีกเลี่ยง พยายามลดความเสี่ยง แบ่งปันความเสี่ยง หรือถ่ายโอนปัญหาไปยังองค์กรอื่น ตัวอย่างเช่น ผู้ผลิตสมัยใหม่มักโอนความเสี่ยงทางไซเบอร์ไปยังผู้ซื้อ ซึ่งหมายความว่าการหยุดทำงานที่เกิดจากการโจมตีทางไซเบอร์กับซัพพลายเออร์อาจส่งผลกระทบต่อบริษัทของคุณได้เช่นกัน นายอาลก จักรวาร์ตี หุ้นส่วนและประธานร่วมของการสืบสวน การบังคับใช้ของรัฐบาล กล่าว และกลุ่มปฏิบัติด้านการคุ้มครองปกขาวที่สำนักงานกฎหมาย Snell & Wilmer

ทีมรักษาความปลอดภัยควรสร้างระบบเพื่อประเมินมาตรการรักษาความปลอดภัยทางไซเบอร์ของซัพพลายเออร์ ระบุจุดอ่อนที่อาจหาประโยชน์ได้ และตรวจสอบว่าความเสี่ยงของซัพพลายเออร์ไม่ได้ถูกถ่ายโอนไปยังผู้ซื้อของพวกเขา Chakravarty กล่าว 

“เนื่องจากความปลอดภัยของผู้ขายได้รับการเน้นอย่างชัดเจน ผู้ขายจำนวนมากอาจทำการตลาดตัวเองว่ามีแนวทางปฏิบัติที่สอดคล้อง แต่บริษัทต่างๆ จะพยายามพิจารณาและทดสอบแรงกดดันต่อการนำเสนอเหล่านี้เป็นอย่างดี” เขากล่าว “การค้นหาการรายงานการตรวจสอบเพิ่มเติมและนโยบายเกี่ยวกับการรับรองความปลอดภัยทางไซเบอร์เหล่านี้อาจกลายเป็นส่วนหนึ่งของตลาดที่กำลังพัฒนานี้”

4. ยืนยันว่าผู้จำหน่ายของคุณรองรับ CSF 2.0

บริการให้คำปรึกษาและผลิตภัณฑ์การจัดการมาตรการรักษาความปลอดภัยทางไซเบอร์ และอื่นๆ มีแนวโน้มว่าจะต้องได้รับการประเมินและปรับปรุงใหม่เพื่อรองรับ CSF ล่าสุด ตัวอย่างเช่น เครื่องมือการกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบ (GRC) แบบดั้งเดิม ควรได้รับการตรวจสอบอีกครั้ง เนื่องจาก NIST ให้ความสำคัญกับฟังก์ชัน Govern มากขึ้น Caralli จาก Axio กล่าว

นอกจากนี้ CSF 2.0 ยังเพิ่มแรงกดดันเพิ่มเติมให้กับผลิตภัณฑ์และบริการการจัดการห่วงโซ่อุปทานเพื่อให้สามารถระบุและควบคุมความเสี่ยงของบุคคลที่สามได้ดีขึ้น Caralli กล่าว

เขากล่าวเสริมว่า "มีแนวโน้มว่าเครื่องมือและวิธีการที่มีอยู่จะเห็นโอกาสในการอัปเดตกรอบการทำงานเพื่อปรับปรุงผลิตภัณฑ์และบริการของตนเพื่อให้สอดคล้องกับชุดปฏิบัติที่ขยายออกไปได้ดียิ่งขึ้น"

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started