КОМЕНТАР
Лідери кібербезпеки постійно шукають інструменти та стратегії для навігації в складному ландшафті цифрових загроз. Але незважаючи на постійну відповідальність за захист цифрових активів, керівники служби інформаційної безпеки (CISO) давно стикаються з явним недоліком у своєму управлінському арсеналі: їм не вистачає нагляду за всіма своїми операціями, що дозволило б їм зрозуміти загальну картину, маючи можливість щоб швидко збільшити масштаб критичного.
Перша версія Концепції кібербезпеки Національного інституту стандартів і технологій була розроблена в 2014 році у відповідь на президентський указ (EO 13636, Покращення кібербезпеки критичної інфраструктури), щоб допомогти організаціям критичної інфраструктури зменшити ризик кібербезпеки. Наказ наказав NIST співпрацювати з галузевими та державними зацікавленими сторонами для створення добровільної структури на основі існуючих стандартів, інструкцій і практики. Отриманий Cybersecurity Framework 2.0 розширює існуючі п’ять основних функцій (ідентифікувати, захистити, виявити, реагувати та відновити) і описує нову функцію: управління.
Невід'ємна частина CISO
Введення функції уряду означає важливе визнання індустрією того, що ефективне управління є невід’ємною частиною ролі CISO. На практиці функція управління заповнює критичну прогалину в наборі інструментів CISO, дозволяючи застосовувати більш комплексний підхід до управління. Раніше CISO стикалися з проблемами під час вирішення ключових питань і проблем, які виникали на їхніх робочих столах, що призводило до прогалин у їхній здатності ефективно керувати. Вони не мали можливості відповісти, наскільки добре вони впроваджують політику, чи прогресують вони, чи їхні останні інвестиції суттєво вплинули на загальну продуктивність.
Наприклад, який рівень готовності проти конкретної загрози? Сьогодні перевірка дотримання політики та працездатності засобів контролю надто часто обумовлена чутками про те, що загроза зростає. Це реактивний підхід, який, швидше за все, дасть результати надто пізно. Більш проактивний підхід означає, що керівники служби безпеки мають постійний контроль за ефективністю ряду елементів керування та програм і можуть легко отримати вказівки, щойно політику було порушено. Наразі процес збору даних від різних власників продукту настільки розчаровує, що більшість CISO просто здаються й живуть без нього. Але будьте впевнені, що коли загроза постукає в їхні двері, вони терміново переслідуватимуть ці дані. Навіть якщо вже пізно.
Процес закупівлі нової продукції є ще одним прикладом того, що ефективне управління було обмеженим. Наприклад, коли CISO купує новий інструмент захисту коду, немає простого способу підтвердити його реєстрацію, якщо вони не попросять команду виділити час для подання звіту. Продуктивність – це група різноманітних вимірювань: чи правильно інструмент сканує? Чи охоплює він усі відповідні середовища? Чи достатній середній час вирішення (MTTR)? Більшість подій обробляються автоматично чи вручну? Чи стикається команда з невирішеними проблемами?
Вважайте, що захист коду – це лише один інструмент із широкого спектру можливостей і лише в світі вразливостей. Помножте це на десятки інструментів і запитань у кількох програмах. Поганий процес управління коштує організації десятків місяців і годин праці. Його нелегко повторити чи масштабувати.
Розширення можливостей керівників завдяки прозорості та видимості
Відсутність видимості в операційних аспектах означає, що CISO по суті керують у темряві, що ускладнює прийняття обґрунтованих рішень і стратегічне планування. У них залишається багато інструментів, багато відокремлених наративів даних і всі елементи, які потрібно зібрати разом, щоб розповісти ширший наратив.
Функція Govern у NIST CSF 2.0 безпосередньо усуває ці недоліки, надаючи основу для ефективного управління. Для того, щоб уряд надавав CISO повноважень виконувати їхні управлінські ролі, він повинен втілювати кілька ключових атрибутів.
По-перше, прозорість має стати першорядною, дозволяючи CISO отримати уявлення про статус впровадження засобів контролю та оцінити рівень захисту, який забезпечують їхні заходи безпеки, як загальну історію та тенденцію, а не інструмент за інструментом. Наприклад, офіс CISO встановить політику, згідно з якою користувач без багатофакторної автентифікації (MFA), який постійно не проходить навчання з фішингу, буде заблокований у корпоративних електронних листах. Щоб перевірити, чи дотримується ця політика, CISO потребує постійних точок даних із двох різних інструментів, і ці точки потрібно буде постійно корелювати.
По-друге, цей рівень мудрості має керуватися автоматизованою системою показників, а не базуватися на електронних таблицях. Ця система виходить за рамки різноманітних мов і вимірювань, пов’язаних з різними інструментами та програмами, забезпечуючи цілісний підхід без втрат у технічному жаргоні.
По-третє, існує потреба в простому методі перекладу складного стеку безпеки на терміни, зрозумілі виконавчим радам. Це відповідає зростаючій потребі CISO виправдовувати поточні інвестиції в умовах бюджетних обмежень.
Нарешті, безперервний моніторинг ефективності в режимі реального часу має важливе значення, що забезпечує постійне спостереження за тенденціями застосування політики та гарантує, що CISO не просто реагують, а й проактивно керують заходами кібербезпеки та покращують їх. Електронні таблиці є статичними моментами часу і не працюють. CISO повинні зробити великий стрибок у напрямку спрощеного та автоматизованого управління, як Monday.com зробив для менеджерів проектів.
По суті, функція управління — це визнання того, що ефективне управління — це не просто очікування, а необхідність для CISO. З CSF 2.0 CISO отримують своє шосте чуття, щоб керувати, керувати та вимірювати свої операції з кібербезпеки за допомогою нових знань і розуміння, а також більш вміло, відкриваючи нову еру проактивного та поінформованого лідерства.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-operations/ciso-sixth-sense-nist-csf-2-govern-function
- : має
- :є
- : ні
- :де
- $UP
- 2%
- 2014
- a
- здатність
- Здатний
- підзвітний
- підтвердження
- через
- адреси
- адресація
- проти
- спрямований
- ВСІ
- виділяти
- дозволяти
- Дозволити
- Серед
- an
- та
- Інший
- відповідь
- підхід
- ЕСТЬ
- арсенал
- AS
- запитати
- аспекти
- оцінити
- Активи
- асоційований
- гарантований
- At
- Атрибути
- Authentication
- Автоматизований
- автоматично
- заснований
- основний
- основа
- BE
- ведмідь
- ставати
- було
- буття
- Великий
- Велика картина
- блокований
- мости
- ширше
- бюджет
- але
- Купує
- by
- CAN
- можливості
- проблеми
- погоня
- контроль
- головний
- CISO
- код
- COM
- комплекс
- всеосяжний
- Турбота
- підтвердити
- послідовно
- постійно
- обмеження
- безперервний
- постійно
- управління
- Корпоративний
- корелює
- витрати
- обкладинка
- створювати
- критичний
- Критична інфраструктура
- Схрещений
- вирішальне значення
- В даний час
- Кібербезпека
- темно
- дані
- точки даних
- Прийняття рішень
- описує
- Столи
- Незважаючи на
- виявляти
- розвиненою
- DID
- різний
- важкий
- цифровий
- Цифрові активи
- спрямований
- безпосередньо
- Різне
- робить
- Двері
- безліч
- керований
- легко
- легко
- Ефективний
- фактично
- повідомлення електронної пошти
- втілити
- уповноважувати
- уповноважують
- дозволяє
- примусово
- примус
- виконання
- підвищення
- зарахування
- забезпечення
- Весь
- середовищах
- Епоха
- сутність
- істотний
- по суті
- встановити
- Навіть
- Події
- приклад
- виконавчий
- розпорядження
- керівництво
- існуючий
- розширюється
- очікування
- Face
- зазнає невдачі
- Перший
- п'ять
- для
- Вперед
- Рамки
- від
- розчарування
- функція
- Функції
- Отримувати
- розрив
- прогалини
- збір
- отримання
- Давати
- керувати
- Уряд
- схопити
- Group
- керівні вказівки
- було
- обробляються
- Мати
- здоров'я
- Герой
- допомогу
- цілісний
- ГОДИННИК
- Як
- HTTP
- HTTPS
- полювання
- ідентифікувати
- if
- Impact
- реалізація
- in
- включені
- зростаючий
- показання
- промисловість
- інформація
- інформаційна безпека
- повідомив
- Інфраструктура
- розуміння
- розуміння
- екземпляр
- Інститут
- інтегральний
- в
- складний
- Вступ
- інвестиції
- інвестиції
- IT
- ЙОГО
- жаргон
- JPG
- просто
- ключ
- Дитина
- знання
- праця
- відсутність
- ландшафт
- мови
- Пізно
- останній
- шар
- Лідери
- Керівництво
- провідний
- Стрибок
- залишити
- рівень
- як
- Ймовірно
- обмеженою
- жити
- Довго
- втрачений
- Робить
- управляти
- управління
- Менеджери
- управління
- вручну
- багато
- значити
- засоби
- вимір
- вимірювання
- заходи
- метод
- Метрика
- МЗС
- Пом'якшити
- момент
- Моменти
- понеділок
- моніторинг
- місяців
- більше
- найбільш
- багатофакторна аутентифікація
- множинний
- розмножуватися
- повинен
- NARRATIVE
- розповіді
- National
- Переміщення
- необхідності
- Необхідність
- потреби
- Нові
- новий продукт
- нещодавно
- nist
- немає
- of
- Office
- офіцерів
- часто
- on
- один раз
- ONE
- постійний
- тільки
- оперативний
- операції
- or
- порядок
- організація
- організації
- з
- загальний
- Нагляд
- Власники
- Першорядний
- частина
- продуктивність
- Вічний
- phishing
- картина
- частин
- планування
- plato
- Інформація про дані Платона
- PlatoData
- точок
- Політика
- політика
- бідні
- Практичний
- практики
- президентських
- раніше
- Проактивний
- процес
- придбання
- Product
- програми
- прогресує
- проект
- правильно
- захист
- захист
- за умови
- забезпечення
- головоломка
- питань
- швидко
- діапазон
- Готовність
- реального часу
- визнання
- Відновлювати
- доречний
- повторюваний
- звітом
- рішення
- Реагувати
- відповідь
- REST
- в результаті
- результати
- Risk
- Роль
- ролі
- s
- захист
- масштабовані
- сканування
- безпеку
- заходи безпеки
- побачити
- сенс
- кілька
- недоліки
- Повинен
- значний
- означає
- силен
- просто
- шостий
- So
- Скоро
- конкретний
- стек
- зацікавлених сторін
- стандартів
- статичний
- Статус
- Історія
- просто
- Стратегічний
- стратегії
- обтічний
- представляти
- достатній
- система
- Приймати
- команда
- технічний
- Технологія
- технології
- сказати
- terms
- Що
- Команда
- світ
- їх
- Їх
- Там.
- Ці
- вони
- це
- загроза
- загрози
- час
- до
- сьогодні
- разом
- занадто
- інструмент
- Інструментарій
- інструменти
- до
- Навчання
- переводити
- прозорість
- Trend
- трендів
- Тенденції
- два
- зрозуміло
- якщо не
- користувач
- приведення в дію
- різний
- версія
- вид
- видимість
- добровільно
- Уразливості
- було
- шлях..
- ДОБРЕ
- були
- Що
- Що таке
- Чи
- в той час як
- ВООЗ
- широкий
- Широкий діапазон
- волі
- мудрість
- з
- в
- без
- Work
- світ
- б
- ще
- зефірнет
- зум