Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã sửa đổi cuốn sách về việc tạo ra một chương trình an ninh mạng toàn diện nhằm giúp các tổ chức thuộc mọi quy mô được an toàn hơn. Đây là nơi bắt đầu thực hiện các thay đổi.
NGUỒN: VIỆN TIÊU CHUẨN VÀ CÔNG NGHỆ QUỐC GIA
Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã công bố bản dự thảo mới nhất của Khung An ninh mạng (CSF) được đánh giá cao trong tuần này, khiến các công ty phải cân nhắc xem một số thay đổi quan trọng trong tài liệu này sẽ ảnh hưởng như thế nào đến các chương trình an ninh mạng của họ.
Richard Caralli, cố vấn an ninh mạng cấp cao tại cho biết, giữa chức năng “Chính phủ” mới để kết hợp sự giám sát chặt chẽ hơn của ban điều hành và hội đồng quản trị đối với an ninh mạng, cũng như việc mở rộng các phương pháp thực hành tốt nhất ngoài những phương pháp dành cho các ngành quan trọng, các nhóm an ninh mạng sẽ được giao công việc riêng cho họ. Axio, một công ty quản lý mối đe dọa về CNTT và công nghệ vận hành (OT).
Ông nói: “Trong nhiều trường hợp, điều này có nghĩa là các tổ chức phải xem xét kỹ lưỡng các đánh giá hiện có, các lỗ hổng đã xác định và các hoạt động khắc phục để xác định tác động của những thay đổi khung”. chưa có mặt, đặc biệt là liên quan đến quản trị an ninh mạng và quản lý rủi ro chuỗi cung ứng.”
CSF được cập nhật lần cuối cách đây 10 năm, nhằm mục đích cung cấp hướng dẫn về an ninh mạng cho các ngành quan trọng đối với an ninh quốc gia và kinh tế . Phiên bản mới nhất mở rộng đáng kể tầm nhìn đó để tạo ra một khuôn khổ cho bất kỳ tổ chức nào có ý định cải thiện sự trưởng thành và trạng thái an ninh mạng của mình. Ngoài ra, các đối tác và nhà cung cấp bên thứ ba hiện là yếu tố quan trọng cần xem xét trong CSF 2.0.
Katie Teitler-Santullo, chiến lược gia an ninh mạng cấp cao của Axonius, cho biết các tổ chức cần xem xét an ninh mạng một cách có hệ thống hơn để tuân thủ các quy định và thực hiện các biện pháp thực hành tốt nhất từ tài liệu.
Bà nói: “Việc biến hướng dẫn này thành hiện thực sẽ cần phải là nỗ lực tự thân của các doanh nghiệp”. “Hướng dẫn chỉ là hướng dẫn cho đến khi nó trở thành luật. Các tổ chức hoạt động hiệu quả nhất sẽ tự mình tiến tới một cách tiếp cận tập trung vào kinh doanh hơn đối với rủi ro mạng.”
Dưới đây là bốn mẹo để vận hành phiên bản mới nhất của Khung bảo mật mạng NIST.
1. Sử dụng tất cả tài nguyên của NIST
NIST CSF không chỉ là một tài liệu mà còn là tập hợp các tài nguyên mà các công ty có thể sử dụng để áp dụng khuôn khổ này cho môi trường và yêu cầu cụ thể của họ. Ví dụ: hồ sơ tổ chức và cộng đồng cung cấp nền tảng để các công ty đánh giá — hoặc đánh giá lại — các yêu cầu, tài sản và biện pháp kiểm soát an ninh mạng của họ. Để giúp quá trình bắt đầu dễ dàng hơn, NIST cũng đã xuất bản hướng dẫn QuickStart cho các phân khúc ngành cụ thể, chẳng hạn như doanh nghiệp nhỏ và cho các chức năng cụ thể, chẳng hạn như quản lý rủi ro chuỗi cung ứng an ninh mạng (C-SCRM).
Nick Puetz, giám đốc điều hành tại Protiviti, một công ty tư vấn CNTT, cho biết tài nguyên của NIST có thể giúp các nhóm hiểu được những thay đổi.
Ông nói: “Đây có thể là những công cụ có giá trị cao giúp các công ty thuộc mọi quy mô nhưng đặc biệt hữu ích cho các tổ chức nhỏ hơn”. Ông nói thêm rằng các nhóm nên “đảm bảo đội ngũ lãnh đạo cấp cao của bạn — và thậm chí cả ban giám đốc của bạn — hiểu điều này sẽ mang lại lợi ích như thế nào cho tổ chức.” chương trình [nhưng] có thể tạo ra một số điểm không nhất quán về điểm trưởng thành [hoặc] điểm chuẩn trong ngắn hạn.”
2. Thảo luận về Tác động của Chức năng “Quản trị” với Lãnh đạo
NIST CSF 2.0 bổ sung một chức năng cốt lõi hoàn toàn mới: Quản trị. Chức năng mới này là sự công nhận rằng cách tiếp cận tổng thể của tổ chức đối với an ninh mạng cần phải phù hợp với chiến lược của doanh nghiệp, được đo lường bằng hoạt động và được quản lý bởi các giám đốc điều hành an ninh, bao gồm cả ban giám đốc.
Các nhóm bảo mật nên xem xét việc phát hiện tài sản và quản lý danh tính để cung cấp khả năng hiển thị về các thành phần quan trọng trong hoạt động kinh doanh của công ty cũng như cách nhân viên và khối lượng công việc tương tác với những tài sản đó. Do đó, chức năng Quản trị phụ thuộc rất nhiều vào các khía cạnh khác của CSF — đặc biệt là chức năng “Xác định”. Và một số thành phần, chẳng hạn như “Môi trường kinh doanh” và “Chiến lược quản lý rủi ro” sẽ được chuyển từ Bản sắc sang Quản trị, Caralli của Axio cho biết.
Ông nói : “Chức năng mới này hỗ trợ các yêu cầu pháp lý đang phát triển, chẳng hạn như các quy tắc [tiết lộ vi phạm dữ liệu] của SEC , có hiệu lực vào tháng 12 năm 2023, có thể là một dấu hiệu cho thấy tiềm năng thực hiện các hành động pháp lý bổ sung sắp tới”. “Và nó nhấn mạnh vai trò ủy thác của lãnh đạo trong quy trình quản lý rủi ro an ninh mạng.”
3. Xem xét vấn đề an ninh chuỗi cung ứng của bạn
Rủi ro chuỗi cung ứng trở nên nổi bật hơn trong CSF 2.0. Các tổ chức thường có thể chấp nhận rủi ro, tránh nó, cố gắng giảm thiểu rủi ro, chia sẻ rủi ro hoặc chuyển vấn đề sang tổ chức khác. Ví dụ, các nhà sản xuất hiện đại thường chuyển rủi ro mạng cho người mua của họ, điều đó có nghĩa là việc ngừng hoạt động do một cuộc tấn công mạng vào nhà cung cấp cũng có thể ảnh hưởng đến công ty của bạn, Aloke Chakravarty, đối tác và đồng chủ tịch của cuộc điều tra, cơ quan thực thi chính phủ, cho biết. và nhóm hành nghề bảo vệ cổ trắng tại công ty luật Snell & Wilmer.
Chakravarty cho biết, các nhóm bảo mật nên tạo ra một hệ thống để đánh giá tình trạng an ninh mạng của nhà cung cấp, xác định các điểm yếu có thể bị khai thác và xác minh rằng rủi ro của nhà cung cấp không được chuyển sang người mua của họ.
Ông nói: “Bởi vì vấn đề bảo mật của nhà cung cấp hiện được nhấn mạnh rõ ràng, nhiều nhà cung cấp có thể tự tiếp thị là có các biện pháp tuân thủ, nhưng các công ty sẽ làm tốt việc xem xét kỹ lưỡng và kiểm tra áp lực những tuyên bố này”. “Việc tìm kiếm các chính sách và báo cáo kiểm toán bổ sung xung quanh các đại diện an ninh mạng này có thể trở thành một phần của thị trường đang phát triển này.”
4. Xác nhận nhà cung cấp của bạn hỗ trợ CSF 2.0
Các dịch vụ tư vấn và sản phẩm quản lý tình hình an ninh mạng, cùng với những sản phẩm khác, có thể sẽ cần được đánh giá lại và cập nhật để hỗ trợ CSF mới nhất. Ví dụ: các công cụ quản trị, rủi ro và tuân thủ (GRC) truyền thống cần được xem xét lại do NIST ngày càng chú trọng hơn đến chức năng Quản trị, Caralli của Axio cho biết.
Hơn nữa, CSF 2.0 gây thêm áp lực lên sản phẩm và dịch vụ quản lý chuỗi cung ứng để xác định và kiểm soát tốt hơn rủi ro của bên thứ ba, Caralli nói.
Ông cho biết thêm: “Có khả năng các công cụ và phương pháp hiện có sẽ nhìn thấy cơ hội trong các bản cập nhật khung để cải thiện sản phẩm và dịch vụ của họ nhằm phù hợp hơn với tập hợp thực hành mở rộng.”
Giới thiệu về tác giả
Robert Lemos, Nhà báo công nghệ kỳ cựu hơn 20 năm. Cựu kỹ sư nghiên cứu. Viết cho hơn hai chục ấn phẩm, bao gồm CNET News.com , Dark Reading, MIT’s Technology Review, Popular Science và Wir.
Trả lời