CISO Sixth Sense: de bestuursfunctie van NIST CSF 2.0

COMMENTAAR

Leiders op het gebied van cyberbeveiliging zijn voortdurend op zoek naar tools en strategieën om door het complexe landschap van digitale bedreigingen te navigeren. Maar ondanks dat ze consequent verantwoordelijk worden gehouden voor het beschermen van digitale activa, worstelen Chief Information Security Officers (CISO's) al lang met een flagrante tekortkoming in hun managementarsenaal: ze missen het toezicht op hun gehele activiteiten waardoor ze het grote geheel kunnen begrijpen terwijl ze in staat zijn om snel in te zoomen op wat belangrijk is.

De eerste versie van het Cybersecurity Framework van het National Institute of Standards and Technology werd in 2014 ontwikkeld als reactie op een presidentieel uitvoerend bevel (EO 13636, Verbetering van de cyberbeveiliging van kritieke infrastructuur) gericht op het helpen van organisaties met kritieke infrastructuur om cyberveiligheidsrisico's te beperken. Het bevel gaf NIST opdracht om samen te werken met belanghebbenden uit de industrie en de overheid om een ​​vrijwillig raamwerk te creëren, gebaseerd op bestaande normen, richtlijnen en praktijken. Het resultaat Cyberbeveiligingskader 2.0 breidt de bestaande vijf basisfuncties uit (Identificeren, Beschermen, Detecteren, Reageren en Herstellen) en beschrijft de nieuw opgenomen functie: Bestuur.

Integraal voor de CISO

De introductie van de bestuursfunctie betekent een cruciale erkenning binnen de sector dat effectief management een integraal onderdeel is van de rol van de CISO. In praktische termen overbrugt de bestuursfunctie een cruciale leemte in de toolkit van de CISO, waardoor een meer alomvattende benadering van het management mogelijk wordt. Voorheen werden CISO's geconfronteerd met uitdagingen bij het aanpakken van belangrijke vragen en zorgen die op hun bureaus opkwamen, wat leidde tot hiaten in hun vermogen om effectief te beheren. Ze hadden geen antwoord op de vraag hoe goed ze het beleid handhaafden, of ze vooruitgang boekten en of hun laatste investering een significante impact had op de algehele prestaties.

Wat is bijvoorbeeld het niveau van paraatheid tegen een specifieke dreiging? Tegenwoordig wordt de controle op de handhaving van het beleid en de gezondheid van de controles te vaak ingegeven door het gerucht dat er sprake is van een dreiging. Dit is een reactieve aanpak die waarschijnlijk te laat resultaat zal opleveren. Een meer proactieve aanpak betekent dat beveiligingsleiders voortdurend inzicht hebben in de prestaties van een reeks controles en programma's en gemakkelijk aanwijzingen kunnen krijgen zodra een beleid wordt geschonden. Momenteel is het proces van het verzamelen van deze datapunten van verschillende producteigenaren zo frustrerend dat de meeste CISO's het eenvoudigweg opgeven en zonder deze data gaan leven. Maar u kunt er zeker van zijn dat zodra er een dreiging bij hen aanklopt, zij deze gegevens dringend zullen achtervolgen. Zelfs als het te laat is.

Het proces van de aanschaf van nieuwe producten is nog een voorbeeld van een situatie waarin effectief management beperkt is gebleven. Als een CISO bijvoorbeeld een nieuwe codebeschermingstool koopt, is er geen gemakkelijke manier om de inschrijving ervan te bevestigen, tenzij hij het team vraagt ​​tijd vrij te maken om een ​​rapport in te dienen. Prestaties zijn een groep van verschillende metingen: scant de tool goed? Bestrijkt het alle relevante omgevingen? Is de gemiddelde tijd om op te lossen (MTTR) voldoende? Worden de meeste gebeurtenissen automatisch of handmatig afgehandeld? Staat het team voor onopgeloste uitdagingen?

Bedenk dat codebescherming slechts één hulpmiddel is uit een breed scala aan mogelijkheden, en alleen binnen de wereld van kwetsbaarheden. Vermenigvuldig dit met tientallen tools en vragen over meerdere programma's. Een slecht managementproces kost een organisatie tientallen maanden en uren aan arbeid. Het is niet gemakkelijk herhaalbaar of schaalbaar.

Leidinggevenden empoweren met transparantie en zichtbaarheid

Dit gebrek aan inzicht in de operationele aspecten betekent dat CISO's feitelijk in het ongewisse opereren, wat geïnformeerde besluitvorming en strategische planning lastig maakt. Ze blijven achter met veel tools, veel geïsoleerde dataverhalen en alle stukjes die ze in elkaar moeten puzzelen om een ​​breder verhaal te vertellen.

De bestuursfunctie in NIST CSF 2.0 pakt deze tekortkomingen rechtstreeks aan en biedt een raamwerk voor effectief beheer. Als Govern CISO's wil empoweren in hun managementrollen, moet het een aantal belangrijke kenmerken belichamen.

Ten eerste moet transparantie van het grootste belang worden, waardoor CISO's inzicht kunnen krijgen in de implementatiestatus van controles en het niveau van bescherming kunnen beoordelen dat door hun beveiligingsmaatregelen wordt geboden als een algemeen verhaal en trend, en niet per instrument. Het CISO-kantoor zou bijvoorbeeld een beleid opstellen dat een gebruiker zonder multifactor-authenticatie (MFA) die voortdurend faalt in de phishing-training, wordt geblokkeerd voor zakelijke e-mails. Om te zien of het beleid wordt gehandhaafd, heeft de CISO continue trendgegevens nodig van twee verschillende tools, en deze punten moeten voortdurend met elkaar in verband worden gebracht.

Ten tweede moet deze laag van wijsheid worden aangestuurd door een geautomatiseerd meetsysteem, niet gebaseerd op spreadsheets. Dit systeem zou de diverse talen en metingen die verband houden met verschillende tools en programma's overstijgen en een holistische benadering garanderen zonder te verdwalen in technisch jargon.

Ten derde is er behoefte aan een eenvoudige methode om de ingewikkelde beveiligingsstack te vertalen in termen die begrijpelijk zijn voor raden van bestuur. Dit komt tegemoet aan de toenemende behoefte van CISO's om lopende investeringen te rechtvaardigen te midden van budgetbeperkingen.

Ten slotte is het realtime en continu monitoren van de prestaties van essentieel belang, waardoor een voortdurend inzicht kan worden verkregen in de trends op het gebied van beleidshandhaving en ervoor kan worden gezorgd dat CISO's niet alleen reactief maar ook proactief zijn bij het beheren en verbeteren van hun cyberbeveiligingsmaatregelen. Spreadsheets zijn statische momenten in de tijd en niet operationeel. CISO's moeten een grote stap voorwaarts maken in de richting van gestroomlijnd en geautomatiseerd beheer, net zoals Monday.com deed voor projectmanagers.

In wezen is de bestuursfunctie een erkenning dat effectief management niet alleen een verwachting is, maar ook een noodzaak voor CISO's. Met CSF 2.0 krijgen CISO's hun zesde zintuig om hun cyberbeveiligingsactiviteiten te besturen, beheren en meten met een nieuw soort kennis en inzicht, en met meer bedrevenheid, waardoor een nieuw tijdperk van proactief en geïnformeerd leiderschap wordt ingeluid.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-operations/ciso-sixth-sense-nist-csf-2-govern-function