Шосте почуття CISO: Функція управління NIST CSF 2.0

Шосте почуття CISO: функція управління NIST CSF 2.0

Мітка часу: 6 березня 2024 8:19
Вихідний вузол: 2506838

КОМЕНТАР

Лідери кібербезпеки постійно шукають інструменти та стратегії для навігації в складному ландшафті цифрових загроз. Але незважаючи на постійну відповідальність за захист цифрових активів, керівники служби інформаційної безпеки (CISO) давно стикаються з явним недоліком у своєму управлінському арсеналі: їм не вистачає нагляду за всіма своїми операціями, що дозволило б їм зрозуміти загальну картину, маючи можливість щоб швидко збільшити масштаб критичного.

Перша версія Концепції кібербезпеки Національного інституту стандартів і технологій була розроблена в 2014 році у відповідь на президентський указ (EO 13636, Покращення кібербезпеки критичної інфраструктури), щоб допомогти організаціям критичної інфраструктури зменшити ризик кібербезпеки. Наказ наказав NIST співпрацювати з галузевими та державними зацікавленими сторонами для створення добровільної структури на основі існуючих стандартів, інструкцій і практики. Отриманий Cybersecurity Framework 2.0 розширює існуючі п’ять основних функцій (ідентифікувати, захистити, виявити, реагувати та відновити) і описує нову функцію: управління.

Невід'ємна частина CISO

Введення функції уряду означає важливе визнання індустрією того, що ефективне управління є невід’ємною частиною ролі CISO. На практиці функція управління заповнює критичну прогалину в наборі інструментів CISO, дозволяючи застосовувати більш комплексний підхід до управління. Раніше CISO стикалися з проблемами під час вирішення ключових питань і проблем, які виникали на їхніх робочих столах, що призводило до прогалин у їхній здатності ефективно керувати. Вони не мали можливості відповісти, наскільки добре вони впроваджують політику, чи прогресують вони, чи їхні останні інвестиції суттєво вплинули на загальну продуктивність.

Наприклад, який рівень готовності проти конкретної загрози? Сьогодні перевірка дотримання політики та працездатності засобів контролю надто часто обумовлена ​​чутками про те, що загроза зростає. Це реактивний підхід, який, швидше за все, дасть результати надто пізно. Більш проактивний підхід означає, що керівники служби безпеки мають постійний контроль за ефективністю ряду елементів керування та програм і можуть легко отримати вказівки, щойно політику було порушено. Наразі процес збору даних від різних власників продукту настільки розчаровує, що більшість CISO просто здаються й живуть без нього. Але будьте впевнені, що коли загроза постукає в їхні двері, вони терміново переслідуватимуть ці дані. Навіть якщо вже пізно.

Процес закупівлі нової продукції є ще одним прикладом того, що ефективне управління було обмеженим. Наприклад, коли CISO купує новий інструмент захисту коду, немає простого способу підтвердити його реєстрацію, якщо вони не попросять команду виділити час для подання звіту. Продуктивність – це група різноманітних вимірювань: чи правильно інструмент сканує? Чи охоплює він усі відповідні середовища? Чи достатній середній час вирішення (MTTR)? Більшість подій обробляються автоматично чи вручну? Чи стикається команда з невирішеними проблемами?

Вважайте, що захист коду – це лише один інструмент із широкого спектру можливостей і лише в світі вразливостей. Помножте це на десятки інструментів і запитань у кількох програмах. Поганий процес управління коштує організації десятків місяців і годин праці. Його нелегко повторити чи масштабувати.

Розширення можливостей керівників завдяки прозорості та видимості

Відсутність видимості в операційних аспектах означає, що CISO по суті керують у темряві, що ускладнює прийняття обґрунтованих рішень і стратегічне планування. У них залишається багато інструментів, багато відокремлених наративів даних і всі елементи, які потрібно зібрати разом, щоб розповісти ширший наратив.

Функція Govern у NIST CSF 2.0 безпосередньо усуває ці недоліки, надаючи основу для ефективного управління. Для того, щоб уряд надавав CISO повноважень виконувати їхні управлінські ролі, він повинен втілювати кілька ключових атрибутів.

По-перше, прозорість має стати першорядною, дозволяючи CISO отримати уявлення про статус впровадження засобів контролю та оцінити рівень захисту, який забезпечують їхні заходи безпеки, як загальну історію та тенденцію, а не інструмент за інструментом. Наприклад, офіс CISO встановить політику, згідно з якою користувач без багатофакторної автентифікації (MFA), який постійно не проходить навчання з фішингу, буде заблокований у корпоративних електронних листах. Щоб перевірити, чи дотримується ця політика, CISO потребує постійних точок даних із двох різних інструментів, і ці точки потрібно буде постійно корелювати.

По-друге, цей рівень мудрості має керуватися автоматизованою системою показників, а не базуватися на електронних таблицях. Ця система виходить за рамки різноманітних мов і вимірювань, пов’язаних з різними інструментами та програмами, забезпечуючи цілісний підхід без втрат у технічному жаргоні.

По-третє, існує потреба в простому методі перекладу складного стеку безпеки на терміни, зрозумілі виконавчим радам. Це відповідає зростаючій потребі CISO виправдовувати поточні інвестиції в умовах бюджетних обмежень.

Нарешті, безперервний моніторинг ефективності в режимі реального часу має важливе значення, що забезпечує постійне спостереження за тенденціями застосування політики та гарантує, що CISO не просто реагують, а й проактивно керують заходами кібербезпеки та покращують їх. Електронні таблиці є статичними моментами часу і не працюють. CISO повинні зробити великий стрибок у напрямку спрощеного та автоматизованого управління, як Monday.com зробив для менеджерів проектів.

По суті, функція управління — це визнання того, що ефективне управління — це не просто очікування, а необхідність для CISO. З CSF 2.0 CISO отримують своє шосте чуття, щоб керувати, керувати та вимірювати свої операції з кібербезпеки за допомогою нових знань і розуміння, а також більш вміло, відкриваючи нову еру проактивного та поінформованого лідерства.

Часова мітка:

Більше від Темне читання