NIST Siber Güvenlik Çerçevesi 2.0: Başlamak İçin 4 Adım

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), saygın Siber Güvenlik Çerçevesinin (CSF) son taslağı Bu hafta şirketlere, belgede yapılacak birkaç önemli değişikliğin siber güvenlik programlarını nasıl etkileyeceği üzerinde düşünmeleri gerekiyor.

Kıdemli siber güvenlik danışmanı Richard Caralli, siber güvenlik konusunda daha fazla yönetici ve yönetim kurulu gözetimi içeren yeni "Yönetim" işlevi ile yalnızca kritik sektörlere yönelik olanların ötesinde en iyi uygulamaların genişletilmesi arasında, siber güvenlik ekiplerinin işlerinin biçilmiş kaftan olacağını söylüyor. Axio, bir BT ve operasyonel teknoloji (OT) tehdit yönetimi firmasıdır.

"Birçok durumda bu, kuruluşların çerçeve değişikliklerinin etkisini belirlemek için mevcut değerlendirmeleri, tespit edilen boşlukları ve iyileştirme faaliyetlerini dikkatle incelemesi gerektiği anlamına gelecektir" diyor ve ekliyor: "Daha önce ortaya çıkabilecek yeni program boşlukları ortaya çıkacak" özellikle siber güvenlik yönetişimi ve tedarik zinciri risk yönetimi açısından mevcut değildi.”

En son 10 yıl önce güncellenen orijinal CSF, siber güvenlik konusunda rehberlik sağlamayı amaçlıyordu. Ulusal ve ekonomik güvenlik açısından kritik öneme sahip endüstriler. en son versiyon Siber güvenlik olgunluğunu ve duruşunu geliştirmek isteyen her kuruluş için bir çerçeve oluşturmak amacıyla bu vizyonu büyük ölçüde genişletiyor. Ayrıca üçüncü taraf ortaklar ve tedarikçiler artık CSF 2.0'da dikkate alınması gereken önemli bir faktördür.

Axonius'un kıdemli siber güvenlik stratejisti Katie Teitler-Santullo yaptığı açıklamada, kuruluşların düzenlemelere uymak ve belgedeki en iyi uygulamaları hayata geçirmek için siber güvenliğe daha sistematik bir şekilde bakmaları gerektiğini söyledi.

"Bu kılavuzun uygulanabilir hale getirilmesi, işletmelerin kendi kendine harekete geçirdiği bir çaba gerektirecektir" dedi. “Rehberlik, kanun haline gelinceye kadar sadece rehberliktir. En iyi performansı gösteren kuruluşlar, siber riske karşı daha iş merkezli bir yaklaşıma doğru ilerlemeyi üstlenecekler.”

NIST Siber Güvenlik Çerçevesinin en son sürümünün operasyonel hale getirilmesine yönelik dört ipucunu burada bulabilirsiniz.

1. Tüm NIST Kaynaklarını Kullanın

NIST CSF yalnızca bir belge değil, şirketlerin çerçeveyi kendi özel ortamlarına ve gereksinimlerine uygulamak için kullanabileceği bir kaynak koleksiyonudur. Örneğin organizasyonel ve topluluk profilleri, şirketlerin siber güvenlik gereksinimlerini, varlıklarını ve kontrollerini değerlendirmeleri veya yeniden değerlendirmeleri için temel sağlar. Sürecin başlatılmasını kolaylaştırmak için NIST ayrıca küçük işletmeler gibi belirli sektör segmentleri ve siber güvenlik tedarik zinciri risk yönetimi (C-SCRM) gibi belirli işlevler için Hızlı Başlangıç ​​kılavuzları da yayınladı. 

BT danışmanlık firması Protiviti'nin genel müdürü Nick Puetz, NIST kaynaklarının ekiplerin değişiklikleri anlamasına yardımcı olabileceğini söylüyor.

"Bunlar her büyüklükteki şirkete yardımcı olabilecek son derece değerli araçlar olabilir, ancak özellikle küçük kuruluşlar için faydalıdır" diyor ve ekiplerin "kıdemli liderlik ekibinizin ve hatta yönetim kurulunuzun bunun şirkete nasıl fayda sağlayacağını anlamasını sağlaması gerektiğini" ekliyor. program [ancak] kısa vadede bazı olgunluk puanlaması [veya] kıyaslama tutarsızlıkları yaratabilir.”

2. “Yönetim” İşlevinin Liderlikle Etkisini Tartışın

NIST CSF 2.0 tamamen yeni bir temel işlev ekler: Yönetme. Yeni işlev, siber güvenliğe yönelik genel kurumsal yaklaşımın, operasyonlarla ölçülen ve yönetim kurulu da dahil olmak üzere güvenlik yöneticileri tarafından yönetilen iş stratejisiyle eşleşmesi gerektiğinin kabul edilmesidir.

Güvenlik ekipleri, bir şirketin işinin kritik bileşenlerine ve çalışanların ve iş yüklerinin bu varlıklarla nasıl etkileşime girdiğine dair görünürlük sağlamak için varlık keşfi ve kimlik yönetimine bakmalıdır. Bu nedenle Yönetme işlevi büyük ölçüde CSF'nin diğer yönlerine, özellikle de "Tanımlama" işlevine dayanır. Axio'dan Caralli, "İş Ortamı" ve "Risk Yönetimi Stratejisi" gibi çeşitli bileşenlerin Kimlik'ten Yönetim'e taşınacağını söylüyor.

"Bu yeni işlev, aşağıdakiler gibi gelişen düzenleyici gereksinimleri destekliyor: SEC [veri ihlali ifşası] kurallarıAralık 2023'te yürürlüğe giren bu düzenleme, büyük olasılıkla gelecek ek düzenleyici eylemlerin potansiyeline işaret ediyor" diyor. "Ve liderliğin siber güvenlik risk yönetimi sürecinde oynadığı güvenilir rolün altını çiziyor."

3. Tedarik Zinciri Güvenliğinizi Düşünün

Tedarik zinciri riski CSF 2.0'da daha fazla önem kazanıyor. Kuruluşlar genellikle riski kabul edebilir, ondan kaçınabilir, riski azaltmaya çalışabilir, riski paylaşabilir veya sorunu başka bir kuruluşa devredebilir. Örneğin modern üreticiler genellikle siber riski alıcılarına aktarıyor; bu da bir tedarikçiye yapılan siber saldırının neden olduğu bir kesintinin şirketinizi de etkileyebileceği anlamına geliyor, diyor, soruşturmaların ortağı ve hükümet yaptırımlarından sorumlu eşbaşkan Aloke Chakravarty. ve Snell & Wilmer hukuk firmasında beyaz yakalı koruma uygulama grubu.

Chakravarty, güvenlik ekiplerinin tedarikçilerin siber güvenlik duruşunu değerlendirmek, potansiyel olarak istismar edilebilir zayıflıkları tespit etmek ve tedarikçinin riskinin alıcılara aktarılmadığını doğrulamak için bir sistem oluşturması gerektiğini söylüyor. 

"Satıcı güvenliği artık açıkça vurgulandığı için birçok satıcı kendilerini uyumlu uygulamalara sahip olarak pazarlayabilir, ancak şirketlerin bu temsilleri dikkatle incelemesi ve baskı testine tabi tutması iyi olacaktır" diyor. "Bu siber güvenlik temsilleri etrafında ek denetim raporları ve politikaları aramak, bu gelişen pazarın bir parçası haline gelebilir."

4. Satıcılarınızın CSF 2.0'ı desteklediğini doğrulayın

Diğerlerinin yanı sıra danışmanlık hizmetleri ve siber güvenlik duruş yönetimi ürünlerinin de en son CSF'yi destekleyecek şekilde yeniden değerlendirilmesi ve güncellenmesi gerekecektir. Axio'dan Caralli, örneğin geleneksel yönetişim, risk ve uyumluluk (GRC) araçlarının, NIST'in Yönetim işlevine verdiği artan vurgu ışığında yeniden incelenmesi gerektiğini söylüyor.

Ayrıca Caralli, CSF 2.0'ın üçüncü taraf risklerini daha iyi tanımlamak ve kontrol etmek için tedarik zinciri yönetimi ürün ve hizmetleri üzerinde ek baskı oluşturduğunu söylüyor.

Şunları ekliyor: "Mevcut araç ve yöntemlerin, genişleyen uygulama setine daha iyi uyum sağlamak amacıyla ürün ve hizmet tekliflerini iyileştirmeye yönelik çerçeve güncellemelerinde fırsatlar görmesi muhtemeldir."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started