Khung bảo mật mạng NIST 2.0: 4 bước để bắt đầu

Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã công bố bản dự thảo mới nhất của Khung An ninh mạng (CSF) được đánh giá cao trong tuần này, khiến các công ty phải cân nhắc xem một số thay đổi quan trọng đối với tài liệu này ảnh hưởng như thế nào đến các chương trình an ninh mạng của họ.

Richard Caralli, cố vấn an ninh mạng cấp cao tại cho biết, giữa chức năng “Chính phủ” mới nhằm kết hợp chặt chẽ hơn sự giám sát của ban điều hành và hội đồng quản trị đối với an ninh mạng, cũng như việc mở rộng các phương pháp thực hành tốt nhất ngoài những phương pháp dành cho các ngành quan trọng, các nhóm an ninh mạng sẽ được giao công việc riêng cho họ. Axio, một công ty quản lý mối đe dọa về CNTT và công nghệ vận hành (OT).

Ông nói: “Trong nhiều trường hợp, điều này có nghĩa là các tổ chức phải xem xét kỹ lưỡng các đánh giá hiện có, những khoảng trống đã xác định và các hoạt động khắc phục để xác định tác động của những thay đổi khung.” Ông nói thêm rằng “những khoảng trống chương trình mới sẽ xuất hiện mà trước đây có thể chưa có mặt, đặc biệt là liên quan đến quản trị an ninh mạng và quản lý rủi ro chuỗi cung ứng.”

CSF ban đầu, được cập nhật lần cuối cách đây 10 năm, nhằm cung cấp hướng dẫn về an ninh mạng cho Các ngành quan trọng đối với an ninh quốc gia và kinh tế. Các phiên bản mới nhất mở rộng đáng kể tầm nhìn đó để tạo ra một khuôn khổ cho bất kỳ tổ chức nào có ý định cải thiện sự trưởng thành và tư thế an ninh mạng của mình. Ngoài ra, các đối tác và nhà cung cấp bên thứ ba hiện là yếu tố quan trọng cần xem xét trong CSF 2.0.

Katie Teitler-Santullo, chiến lược gia an ninh mạng cấp cao của Axonius, cho biết các tổ chức cần xem xét an ninh mạng một cách có hệ thống hơn để tuân thủ các quy định và thực hiện các biện pháp thực hành tốt nhất từ ​​tài liệu.

Bà nói: “Việc biến hướng dẫn này thành hiện thực sẽ cần phải là nỗ lực tự thân của các doanh nghiệp. “Hướng dẫn chỉ là hướng dẫn, cho đến khi nó trở thành luật. Các tổ chức hoạt động hiệu quả nhất sẽ tự mình hướng tới cách tiếp cận tập trung vào kinh doanh hơn đối với rủi ro mạng.”

Dưới đây là bốn mẹo để vận hành phiên bản mới nhất của Khung bảo mật mạng NIST.

1. Sử dụng tất cả tài nguyên của NIST

NIST CSF không chỉ là một tài liệu mà còn là tập hợp các tài nguyên mà các công ty có thể sử dụng để áp dụng khuôn khổ này cho môi trường và yêu cầu cụ thể của họ. Ví dụ: hồ sơ tổ chức và cộng đồng cung cấp nền tảng để các công ty đánh giá — hoặc đánh giá lại — các yêu cầu, tài sản và biện pháp kiểm soát an ninh mạng của họ. Để giúp quá trình bắt đầu dễ dàng hơn, NIST cũng đã xuất bản hướng dẫn QuickStart cho các phân khúc ngành cụ thể, chẳng hạn như doanh nghiệp nhỏ và cho các chức năng cụ thể, chẳng hạn như quản lý rủi ro chuỗi cung ứng an ninh mạng (C-SCRM). 

Nick Puetz, giám đốc điều hành tại Protiviti, một công ty tư vấn CNTT, cho biết tài nguyên của NIST có thể giúp các nhóm hiểu được những thay đổi.

Ông nói: “Đây có thể là những công cụ có giá trị cao giúp các công ty thuộc mọi quy mô nhưng đặc biệt hữu ích cho các tổ chức nhỏ hơn”. Ông nói thêm rằng các nhóm nên “đảm bảo đội ngũ lãnh đạo cấp cao của bạn - và thậm chí cả ban giám đốc của bạn - hiểu điều này sẽ mang lại lợi ích như thế nào cho tổ chức.” chương trình [nhưng] có thể tạo ra một số điểm không nhất quán về điểm trưởng thành [hoặc] điểm chuẩn trong ngắn hạn.”

2. Thảo luận về Tác động của Chức năng “Quản trị” với Lãnh đạo

NIST CSF 2.0 bổ sung một chức năng cốt lõi hoàn toàn mới: Quản trị. Chức năng mới này là sự công nhận rằng cách tiếp cận tổng thể của tổ chức đối với an ninh mạng cần phải phù hợp với chiến lược của doanh nghiệp, được đo lường bằng hoạt động và được quản lý bởi các giám đốc điều hành an ninh, bao gồm cả ban giám đốc.

Các nhóm bảo mật nên xem xét việc phát hiện tài sản và quản lý danh tính để cung cấp khả năng hiển thị về các thành phần quan trọng trong hoạt động kinh doanh của công ty cũng như cách nhân viên và khối lượng công việc tương tác với những tài sản đó. Do đó, chức năng Quản trị phụ thuộc rất nhiều vào các khía cạnh khác của CSF - đặc biệt là chức năng “Xác định”. Và một số thành phần, chẳng hạn như “Môi trường kinh doanh” và “Chiến lược quản lý rủi ro”, sẽ được chuyển từ Bản sắc sang Quản trị, Caralli của Axio cho biết.

“Chức năng mới này hỗ trợ các yêu cầu pháp lý đang phát triển, chẳng hạn như quy định của SEC [tiết lộ vi phạm dữ liệu], có hiệu lực vào tháng 2023 năm XNUMX, có thể là một dấu hiệu cho thấy khả năng có các hành động quản lý bổ sung sắp tới,” ông nói. “Và nó nhấn mạnh vai trò ủy thác của lãnh đạo trong quy trình quản lý rủi ro an ninh mạng.”

3. Xem xét vấn đề an ninh chuỗi cung ứng của bạn

Rủi ro chuỗi cung ứng trở nên nổi bật hơn trong CSF 2.0. Các tổ chức thường có thể chấp nhận rủi ro, tránh nó, cố gắng giảm thiểu rủi ro, chia sẻ rủi ro hoặc chuyển vấn đề sang tổ chức khác. Ví dụ, các nhà sản xuất hiện đại thường chuyển rủi ro mạng cho người mua của họ, điều đó có nghĩa là việc ngừng hoạt động do một cuộc tấn công mạng vào nhà cung cấp cũng có thể ảnh hưởng đến công ty của bạn, Aloke Chakravarty, đối tác và đồng chủ tịch của cuộc điều tra, cơ quan thực thi chính phủ, cho biết. và nhóm hành nghề bảo vệ cổ trắng tại công ty luật Snell & Wilmer.

Chakravarty cho biết, các nhóm bảo mật nên tạo ra một hệ thống để đánh giá tình trạng an ninh mạng của nhà cung cấp, xác định các điểm yếu có thể bị khai thác và xác minh rằng rủi ro của nhà cung cấp không được chuyển sang người mua của họ. 

Ông nói: “Bởi vì vấn đề bảo mật của nhà cung cấp hiện được nhấn mạnh rõ ràng, nhiều nhà cung cấp có thể tự tiếp thị là có các biện pháp tuân thủ, nhưng các công ty sẽ làm tốt việc xem xét kỹ lưỡng và kiểm tra áp lực những tuyên bố này”. “Việc tìm kiếm các chính sách và báo cáo kiểm toán bổ sung xung quanh các đại diện an ninh mạng này có thể trở thành một phần của thị trường đang phát triển này.”

4. Xác nhận nhà cung cấp của bạn hỗ trợ CSF 2.0

Các dịch vụ tư vấn và sản phẩm quản lý tình hình an ninh mạng, cùng với những sản phẩm khác, có thể sẽ cần được đánh giá lại và cập nhật để hỗ trợ CSF mới nhất. Ví dụ: các công cụ quản trị, rủi ro và tuân thủ (GRC) truyền thống cần được xem xét lại do NIST ngày càng chú trọng hơn đến chức năng Quản trị, Caralli của Axio cho biết.

Hơn nữa, CSF 2.0 gây thêm áp lực lên sản phẩm và dịch vụ quản lý chuỗi cung ứng để xác định và kiểm soát tốt hơn rủi ro của bên thứ ba, Caralli nói.

Ông cho biết thêm: “Có khả năng các công cụ và phương pháp hiện có sẽ nhìn thấy cơ hội trong các bản cập nhật khung để cải thiện sản phẩm và dịch vụ của họ để phù hợp hơn với tập hợp thực hành mở rộng”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started