ניהול סיכוני סייבר לא יכול לחיות בחלל ריק. ולמרות ששיטות העבודה המומלצות ברמה גבוהה עשויות להישאר זהות ברובן לאורך תקופה של שנים, הן נוף האיומים והן האתגרים העומדים בפני צוותי הציות התפתחו באופן משמעותי במהלך העשור האחרון. זו הסיבה שאחת הקווים המנחים הפופולריים ביותר בחוץ היא קבלת רענון.
המכון הלאומי לתקנים וטכנולוגיה (NIST) מסגרת אבטחת סייבר (CSF) פורסם לראשונה ב-2014 בעקבות הוראת ביצוע מהנשיא דאז ברק אובמה. הרענון המשמעותי הראשון שלו פורסם כעת. התקווה היא שזה יעזור לארגונים גלובליים לעמוד באתגרים של היום ומחר תוך שימוש פשוט יותר מה-CSF המקורי. יש הרבה על מה להיות אופטימי.
רקע ל-CSF
ה-CSF הוא התנדבותי ונועד בתחילה עבור ארגוני תשתית לאומית קריטית (CNI). עם זאת, הבהירות והיסודיות שלה בהדגשת שיטות העבודה המומלצות של אבטחת סייבר הפכו אותה לאחת המסגרות הפופולריות ביותר בקרב ארגונים אמריקאים ועולמיים - לא משנה מה המגזר שלהם.
זה בנוי סביב חמש פונקציות מפתח:
לזהות:
צור תיעוד של נכסי החומרה, התוכנה והנתונים של הארגון. פרסם א מדיניות מתווה תפקידים ואחריות לכל מי שיש לו גישה לנתונים קריטיים, כולל שותפים וספקים. כמו כן, צור נוהל לתגובה לאירוע ולתיקון.
לְהַגֵן:
בקרות פיזיות וטכניות לשמירה על נכסים קריטיים. זה יכול לכלול גיבויים, חינוך משתמש, הצפנה, בקרות גישה ועדכונים שוטפים.
לזהות:
עקוב אחר גישה לא מורשית ופעילות רשת חריגה.
לְהָגִיב:
בניית תוכנית להודעת אירוע (ללקוחות, רגולטורים, בעלי מניות וכו'), רציפות עסקית וחקירת אירוע. תוכנית זו צריכה להיבדק באופן קבוע.
לְהַחלִים:
תיקון ושחזור נכסים/שירותים שנפגעו בעקבות הפרה ועדכן את העובדים והלקוחות. שפר את חוסן הסייבר באמצעות למידה.
כחלק מהמסגרת, NIST גם יצרה ארבעה שכבות כדי לעזור לחברות לאמוד את הבשלות שלהן ביישום ה-CSF (חלקי, בעל מידע על סיכון, ניתן לחזור על עצמו, מסתגל). והוא כלל מדריך שלב אחר שלב ליצירת א ניהול סיכונים תכנית. בגדול, זה הולך כך:
- היקף הפרויקט וזיהוי סדרי עדיפויות
- התמצאות בהבנת התקנות הרלוונטיות בתעשייה ואיומי סייבר
- צור פרופיל כדי להמחיש כיצד הסיכון מטופל כיום בארגון
- ערכו הערכת סיכונים כדי להבין את הסבירות והחומרה של אירוע אבטחת סייבר שעלול להשפיע על הארגון
- צור פרופיל יעד אשר ישמש כמטרה סופית של צוות האבטחה
- זהה את הפערים בין הפרופיל הנוכחי לפרופיל היעד כדי ליצור תוכנית פעולה, כולל כל המשאבים הדרושים
- ליישם את תוכנית הפעולה
מה חדש לשנת 2024?
שוחרר באוגוסט 2023, גרסת טיוטת ה-CSF (v 2.0) מבצעת מספר עדכונים חשובים למסמך המקורי. המפתח ביניהם הוא ניסיונות להרחיב את השימוש במסגרת, לשפר את ההנחיות ליישום ולהדגיש את חשיבות הממשל:
עמוד שלטון חדש
זה מכסה את ההקשר הארגוני; אסטרטגיית ניהול סיכונים; אבטחת סייבר סיכון שרשרת האספקה הַנהָלָה; תפקידים, אחריות וסמכויות; מדיניות, תהליכים ונהלים; ופיקוח. בנוסף, מוצעת הדרכה לגבי שילוב ה-CSF עם מסגרת הפרטיות של NIST ו-NIST IR 8286.
הנחיות מורחבות לשימוש
CSF 2.0 מציג דוגמאות נוספות ליישום. זה גם משנה את פרופילי המסגרת כדי להקל על השימוש בהם במהלך פרויקטים. כלולות תבניות רעיוניות, בהן ארגונים יכולים להשתמש או להתאים ליצירת פרופילים ותוכניות פעולה.
הרחבת ה-CSF
הכותרת הרשמית שונתה מהמסגרת לשיפור אבטחת הסייבר של תשתיות קריטיות ל-CSF הנפוץ יותר. ההיקף עודכן כך שישקף את השימוש של כל הארגונים, לא רק אלה המפעילים CNI.
בנוסף, יש דגש גדול יותר על אבטחת שרשרת האספקה, עם קישורים חדשים ל-NIST SP 800-55. החשיבות של שיפור מתמיד מקבלת משקל רב יותר גם באמצעות קטגוריית "שיפור" חדשה תחת עמוד הזיהוי.
צעד בכיוון הנכון
מומחים מברכים באופן כללי על רענון ה-CSF. ג'וזף קרסון, מדען אבטחה ראשי ו-CISO מייעץ ב-Delinea, אומר ל-ISMS.online כי לאחר כמעט עשור, נדרשה גרסה חדשה כדי לקחת בחשבון את השינויים בנוף האיומים.
"הרחבתו לארגונים נוספים היא הגישה הנכונה בחיזוק החוסן מול המגוון העצום של איומי סייבר שהם מתמודדים איתם", הוא מוסיף. פישוט ה-CSF יקל גם על אימוץ המסגרת, ויאפשר ליותר ארגונים להעלות את רמת ההגנה האבטחה שלהם".
גם מנכ"ל נטוגרפיה, מרטין רואש, משבח את עמוד ה"ממשל" החדש.
"הוספת ממשל למסגרת אבטחת הסייבר של NIST היא צעד מפתח בסיוע לארגונים להראות הוכחה שהתשתית שלהם מתאימה למדיניות שלהם בכל זמן נתון, והיא מאפשרת לצוותי אבטחה דרך למדוד את מידת האפקטיביות של המערכת שלהם", הוא אומר. ISMS.online.
"על ידי הרחבת היקף ה-CSF ושיפור הנחיות היישום, NIST מספקת לחלק גדול יותר של ארגונים מפת דרכים חזקה להשגת הצלחה באבטחת מידע וניהול סיכונים ללא תלות בגודל או בתעשייה."
עם זאת, במקביל, רואש טוען שארגונים מסוימים עשויים להיאבק ליישם עקרונות ממשל על סביבותיהם, "במיוחד אם יש להם טכנולוגיות, מערכות ותהליכים מגוונים". הוא גם מזהיר כי אילוצי משאבים עשויים לאסור את הניטור המתמשך הדרוש ל"ביסוס ושימור ממשל אבטחת סייבר חזק" על רקע ארכיטקטורות אבטחת רשת המתפתחות במהירות. הוא מתאר את ממשל המדיה החברתית, בפרט, כ"תיבת פנדורה" של אתגרי פרטיות ואבטחה.
לפיכך, יישום אפילו CSF יעיל וידידותי יותר למשתמש עשוי להיות מאתגר עבור ארגונים מסוימים. אבל א מערכת ניהול אבטחת מידע (ISMS) יכול לעזור, אומר Carson של Delinea.
"זה יכול לתאר דוגמאות כיצד להשתמש ב כלי עזר ל-CSF 2.0 ולתת הבנה של איך נראים יישומים בעולם האמיתי", הוא אומר. "ככל שיותר ארגונים יצפו בעמיתיהם כשהם פורסים ומיישמים בהצלחה את ה-CSF, וכיצד הם ממפים לכלי ההתייחסות, זה יעודד אחרים לעקוב במהירות."
