Håndtering av cyberrisiko kan ikke leve i et vakuum. Og selv om beste praksis på høyt nivå kan forbli stort sett den samme over en årrekke, har både trusselbildet og utfordringene som overholdelsesteam står overfor, utviklet seg betydelig i løpet av det siste tiåret. Det er derfor en av de mest populære retningslinjene der ute er å få en oppdatering.

Nasjonalt institutt for standarder og teknologi (NIST) Cybersecurity Framework (CSF) ble først publisert i 2014 etter en eksekutiv ordre fra daværende president Barack Obama. Den første betydelige oppdateringen er nå publisert. Håpet er at det vil hjelpe globale organisasjoner til å møte dagens og morgendagens utfordringer samtidig som det er enklere å bruke enn den originale CSF. Det er mye å være optimistisk over.

En bakgrunn til CSF

CSF er frivillig og var opprinnelig ment for organisasjoner med kritisk nasjonal infrastruktur (CNI). Imidlertid gjorde dens klarhet og grundighet når det gjaldt å fremheve beste praksiser for cybersikkerhet, det til et av de mest populære rammeverkene blant amerikanske og globale organisasjoner – uansett sektor.

Den er bygget rundt fem nøkkelfunksjoner:

Identifisere:

Lag en oversikt over organisasjonens maskinvare, programvare og dataressurser. Publiser en politikk skissere roller og ansvar for alle med tilgang til kritiske data, inkludert partnere og leverandører. Lag også en prosedyre for hendelsesrespons og utbedring.

Beskytte:

Fysiske og tekniske kontroller for å sikre kritiske eiendeler. Det kan inkludere sikkerhetskopiering, brukeropplæring, kryptering, tilgangskontroller og regelmessige oppdateringer.

Oppdag:

Overvåk for uautorisert tilgang og uvanlig nettverksaktivitet.

Svar:

Lag en plan for hendelsesvarsling (til kunder, regulatorer, aksjonærer, etc.), Forretnings kontinuitet og etterforskning av hendelser. Denne planen bør testes regelmessig.

Komme seg:

Reparere og gjenopprette berørte eiendeler/tjenester etter et brudd og holde ansatte og kunder informert. Forbedre cyberresiliens gjennom læring.

Som en del av rammeverket opprettet NIST også fire nivåer for å hjelpe bedrifter med å måle modenheten deres i implementeringen av CSF (Partial, Risk-informed, Repeatable, Adaptive). Og den inkluderte en trinn-for-trinn-guide for å lage en risikostyring program. I store trekk går dette som følger:

  • Omfang prosjektet og identifiser prioriteringer
  • Orienter deg for å forstå relevante bransjeforskrifter og cybertrusler
  • Lag en profil for å illustrere hvordan risiko i dag håndteres i organisasjonen
  • Gjennomfør en risikovurdering for å forstå sannsynligheten og alvorlighetsgraden av en cybersikkerhetshendelse som kan påvirke organisasjonen
  • Lag en målprofil som vil tjene som sluttmålet for sikkerhetsteamet
  • Identifiser gapene mellom gjeldende profil og målprofil for å lage en handlingsplan, inkludert eventuelle nødvendige ressurser
  • Implementere handlingsplanen

Hva er nytt for 2024?

Utgitt i august 2023, gjør utkastversjonen av CSF (v 2.0) flere viktige oppdateringer til det originale dokumentet. Nøkkel blant disse er forsøk på å utvide bruken av rammeverket, forbedre veiledning om implementering og understreke viktigheten av styring:

En ny styresøyle

Dette dekker organisatorisk kontekst; risikostyringsstrategi; cybersikkerhet forsyningskjedefare ledelse; roller, ansvar og myndigheter; retningslinjer, prosesser og prosedyrer; og tilsyn. I tillegg tilbys veiledning om integrering av CSF med NIST Privacy Framework og NIST IR 8286.

Utvidet veiledning om bruk

CSF 2.0 introduserer flere eksempler på implementering. Den reviderer også rammeprofiler for å gjøre det enklere å bruke dem under prosjekter. Ideelle maler er inkludert, som organisasjoner kan bruke eller tilpasse for å lage profiler og handlingsplaner.

Utvidelse av CSF

Den offisielle tittelen er endret fra Framework for Improving Critical Infrastructure Cybersecurity til den mer vanlig brukte CSF. Omfanget er oppdatert for å gjenspeile bruk av alle organisasjoner, ikke bare de som driver CNI.

I tillegg er det større vekt på forsyningskjedesikkerhet, med nye koblinger til NIST SP 800-55. Viktigheten av kontinuerlig forbedring tillegges også større vekt gjennom en ny «forbedring»-kategori under Identify-pilaren.

Et skritt i riktig retning

Eksperter ønsker stort sett velkommen til CSF-oppdateringen. Joseph Carson, Chief Security Scientist og rådgivende CISO ved Delinea, sier til ISMS.online at etter nesten et tiår var det nødvendig med en ny versjon for å ta hensyn til endringer i trussellandskapet.

"Å utvide det til flere organisasjoner er den riktige tilnærmingen for å styrke motstandskraften mot det store utvalget av cybertrusler de står overfor," legger han til. En forenkling av CSF vil også gjøre det lettere å ta i bruk rammeverket, slik at flere organisasjoner kan heve nivået på sikkerhetsbeskyttelse.»
Netographys administrerende direktør, Martin Roesch, berømmer også den nye «Govern»-pilaren.

"Å legge til styring til NIST Cybersecurity Framework er et nøkkeltrinn i å hjelpe organisasjoner med å vise bevis på at infrastrukturen deres er i samsvar med deres retningslinjer til enhver tid, og det lar sikkerhetsteam ha en måte å måle hvor effektivt systemet deres fungerer," forteller han ISMS.online.

"Ved å utvide omfanget av CSF og forbedre implementeringsretningslinjene, gir NIST et større utvalg av organisasjoner med et sterkt veikart for å oppnå suksess med informasjonssikkerhet og risikostyring uavhengig av størrelse eller bransjevertikal."

Men samtidig argumenterer Roesch for at noen organisasjoner kan slite med å anvende styringsprinsipper på sine miljøer, "spesielt hvis de har forskjellige teknologier, systemer og prosesser." Han advarer også om at ressursbegrensninger kan hindre den kontinuerlige overvåkingen som er nødvendig for å "etablere og opprettholde robust cybersikkerhetsstyring" mot et bakteppe av raskt utviklende nettverkssikkerhetsarkitekturer. Han beskriver styring av sosiale medier, spesielt, som en "Pandoras boks" med personvern- og sikkerhetsutfordringer.

Derfor kan implementering av selv en strømlinjeformet, mer brukervennlig CSF være utfordrende for noen organisasjoner. Men en styringssystem for informasjonssikkerhet (ISMS) kan hjelpe, sier Delineas Carson.

"Den kan skissere eksempler på hvordan du bruker CSF 2.0 Referanseverktøy og gi en forståelse av hvordan implementeringer i den virkelige verden ser ut, sier han. "Når flere organisasjoner observerer at jevnaldrende lykkes med å implementere og implementere CSF, og hvordan de kartlegger til referanseverktøyet, vil det oppmuntre andre til raskt å følge."