Ulusal Standartlar ve Teknoloji Enstitüsü 2014 yılında Siber Güvenlik Çerçevesini yayınladığında, siber güvenlik sektörü ve kuruluşların karşı karşıya olduğu tehdit ortamı oldukça farklıydı.
On yıl ne kadar da çok şey değiştiriyor!
NIST, CSF’nin 2.0 sürümünü yayınladı Pazartesi günü, siber riski azaltmak amacıyla sektörlerdeki her büyüklükteki işletme için gönüllü rehber güncelleniyor. Yapılan revizyon geçen yıl devam ediyormevcut durumu yakalamak için oynuyor.
Güncellenen kılavuz ve kaynaklar, tedarik zincirine, ortak bir saldırı vektörüne ve yönetime yeni bir vurgu yaparak, yeni saldırı vektörü gibi çabaları tamamlıyor. Menkul Kıymetler ve Borsa Komisyonu’nun kuralı Şirketlerin siber güvenlik risk yönetimini, stratejisini ve yönetişimini yıllık bildirimlerde raporlamasını zorunlu kılıyor.
“CSF’nin her zaman sunucu odasından toplantı odasına kadar kullanılması amaçlandı ve sunucu odaları artık şirket içinde olmadığından toplantı odası daha da önemli hale geliyor.” NIST Ulusal Siber Güvenlik Mükemmeliyet Merkezi Direktörü Cherilyn PascoePazartesi günü bir etkinlikte söyledi Aspen Digital, CSF 2.0’ı tartışmak üzere ağırlandı.
İlk CSF, beş temel işlev (kimlik, koruma, tespit, yanıt ve kurtarma) etrafında oluşturulmuş olsa da, sürüm 2.0, kurumların siber risk yönetimini kurumsal yönetişim yapılarına dahil etmeleri gerektiğinden yönetim ekler. İşlevler, siber güvenlik risk yönetimi yaşam döngüsünün tam bir görünümünü sağlayacak şekilde düzenlenmiştir.
Yönetişim büyük bir değişimi temsil ediyor ve NIST’in ve sektördeki paydaşların 10 yıl önce dahil olmaya hazır olmadığı bir şeyi temsil ediyor. NIST Direktörü Laurie Locascio Aspen Digital etkinliğinde şunları söyledi.
Kuruluşların diğer beş işlevin sonuçlarını ölçmesine yardımcı olmak için tasarlanan yönetim işlevi, kurumsal bağlamı, politikayı, gözetimi ve tedarik zinciri risk yönetimini ele alır.
Yeni fonksiyon, yapılandırılmış risk yönetimi stratejilerini ve sorumlulukların net bir şekilde tanımlanmasını savunuyor. Critical Start’ın siber tehdit araştırmalarından sorumlu kıdemli yöneticisi Callie Guenther. Tedarik zincirine yapılan vurgu, siber güvenlik risklerinin birbirine bağlı doğasının giderek daha fazla kabul edildiğini yansıtıyor.
NIST, işletmelerin rehberliği operasyonları genelinde kullanmasını ve uygulamaya koymasını kolaylaştırmak için CSF 2.0 sürümünü bir dizi kaynakla eşleştirdi. Bu, yeni uygulama örneklerini içerir. referans haritalama aracı Çerçeveyi diğer siber güvenlik önerilerine bağlayan ve hızlı başlangıç kılavuzları belirli hedef kitleler ve kullanıcı türleri için.
İlk sürüm uzun bir süre hizmet etse de, kötü niyetli faaliyetlerin ve teknolojik değişimin gelişimi, NIST’in rehberliği güncellemeye devam etmesini gerektiriyor. Bu değişiklikler başka yerlerdeki çabalarla birlikte geliyor.
Beyaz Saray’ın ulusal siber güvenlik stratejisi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın siber güvenlik performans hedefleri NIST’in CSF 2.0’ını tamamlarken, düzenleyiciler ve sektör risk yönetimi kurumları kendi sektörleri için risk yönetimini ele almaktadır.
Qualys’in siber tehdit direktörü Ken Dunham, e-posta yoluyla şunları söyledi: “Uyumluluk ve düzenleyici kontroller, 2024’te kuruluşlar için önemlidir; CSF 2.0 gibi çerçeveler, diğer kontrollere ve sektörlere özgü diğer çerçevelerle kolayca üst üste bindirilebilen temel bir temel oluşturur.”
Dunham, her kuruluşun birden fazla uyumluluk ve çerçeve biçimini kapsama ve bunlara uyma sorumluluğuna sahip olduğunu söyledi.