Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi
Yeni CSF, Temel İşlevlere ‘Yönetim’ Ekliyor
Chris Riotta (@chrisriotta) •
26 Şubat 2024
ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından özel sektöre yönelik olarak yayınlanan siber güvenlik kılavuzu, 2014 yılında ilk kez açıklanmasından bu yana ilk büyük güncellemesini aldı.
Gözden geçirilmiş Siber Güvenlik Çerçevesi yönetişim ve “en küçük okullardan ve kâr amacı gütmeyen kuruluşlardan en büyük kurum ve kuruluşlara kadar” tüm kuruluşları, siber güvenlik tehditlerini kurumsal risklerin önemli bir kaynağı olarak görmeye çağırıyor.
Ayrıca bakınız: SASE ve NDR Birbirlerini Nasıl Tamamlıyor?
Uzmanlar Bilgi Güvenliği Medya Grubu’na, revize edilen çerçevenin gelecekteki güncellemeler için daha yinelemeli bir yaklaşım benimsediğini ve her 10 yılda bir büyük revizyonlar yerine daha küçük, sürekli güncellemelere izin verecek yeni standartlar içerdiğini söyledi.
Siber Güvenlik Politikası ve Hukuk Merkezi koordinatörü ve Beyaz Saray Ulusal Güvenlik Konseyi’nin eski bir üyesi olan Ari Schwartz, yeni yaklaşımın “çerçevenin geçmişte olduğundan daha dinamik olmasına olanak tanıyacağını” söyledi.
Schwartz, ISMG’ye “İleriye dönük CSF değerlendirmelerini revize ederken muhtemelen her zaman öğrenilecek küçük şeyler olacaktır” dedi. “Güvenlik devam eden bir yolculuktur ve CSF 2.0 bunu yansıtıyor.”
Güncellenen çerçeve, siber güvenlik programının 2014 yılında oluşturulan beş temel unsuruna yeni bir temel unsur olan yönetişimi ekliyor: tanımlama, koruma, tespit etme, yanıt verme ve kurtarma.
Siber Güvenlik Çerçevesi, kritik altyapılar için minimum siber güvenlik standartlarını yasalaştırma yönündeki başarısız girişime alternatif olarak Obama yönetimi sırasında geliştirilen gönüllü bir siber güvenlik modelidir. NIST yetkilileri, çerçevenin zaman zaman tartışmalı gelişimi sırasında da yaptıkları gibi, özel sektöre herhangi bir özen yükümlülüğü getirmediğinin altını çiziyor. Bununla birlikte çerçeve, toplu davalardan Federal Ticaret Komisyonu rehberliğine kadar çeşitli bağlamlarda özel sektör siber güvenliğinin sıklıkla ölçüldüğü bir tür referans noktası haline geldi.
Yönetişimin temel işlevi, çerçevenin önceden örtülü olan bir öğesini açıkça ortaya koyuyor: onu takip eden kuruluşların bir siber güvenlik stratejisi oluşturması, bunu uygulamak için yöneticilere yetki vermesi ve gözetimi sağlaması gerekiyor.
Çerçeve ayrıca siber güvenlik stratejisiyle ilgili yönetici düzeyindeki tartışmaların “risk yönetimi stratejileri hakkında diyalog ve anlaşmanın desteklenmesine” ve ayrıca roller, sorumluluklar, politikalar ve gözetime yardımcı olduğunu söylüyor.
Yöneticilerin “ortak hizmetler, kontroller ve işbirliği yoluyla risk hedeflerine nasıl ulaşılacağına odaklanacağı” üst düzey yöneticilerden yönetim seviyesine kadar uzanan genel siber güvenlik hedeflerini öngörüyor. Daha sonra beklentiler ve hedefler, rehbere göre döngü tekrarlandıkça organizasyonel profillerde güncellenir.
Çerçeve, kuruluşları belirli sonuçlara ulaşmak ve bu faydaları paydaşlara iletmek amacıyla belirli siber güvenlik eylemlerine öncelik vermek için kullanılabilecek kurumsal profiller geliştirmeye teşvik eder. NIST’e göre kurumsal profiller aynı zamanda siber güvenlik uygulamalarının “sürekli iyileştirilmesine yardımcı olabilir”.
NIST Direktörü Laurie Locascio Pazartesi günü yaptığı açıklamada, yeni çerçevenin “bir kuruluşun siber güvenlik ihtiyaçları değiştikçe ve yetenekleri geliştikçe zaman içinde ayrı ayrı veya kombinasyon halinde özelleştirilebileceğini ve kullanılabileceğini” söyledi.
NIST, çerçevenin, çeşitli siber güvenlik duruşlarına sahip kuruluşların çeşitli ihtiyaçlar arayan güncellenmiş kılavuza geleceğini öngördüğünü söyledi. CSF 2.0, belirli kullanıcı türleri için tasarlanmış bir dizi hızlı başlangıç kılavuzunun yanı sıra uygulama örnekleri, başarı öyküleri ve çerçeveye yönelik belirli eylemleri belirleyen aranabilir bir referans kataloğu ile birlikte yayınlandı.
Çerçeve aynı zamanda kullanıcıların insan tarafından tüketilebilen ve makine tarafından okunabilen formatlardaki verileri aramasına, göz atmasına ve dışa aktarmasına olanak tanıyan bir referans aracı da içerir.