Generative Data Intelligence

Κυβερνασφάλεια

CISO Έκτη Αίσθηση: Λειτουργία Διακυβέρνησης του NIST CSF 2.0

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 0

ΣΧΟΛΙΑΣΜΟΣ

Οι ηγέτες της κυβερνοασφάλειας αναζητούν συνεχώς εργαλεία και στρατηγικές για την πλοήγηση στο περίπλοκο τοπίο των ψηφιακών απειλών. Ωστόσο, παρά το γεγονός ότι θεωρούνται συνεχώς υπεύθυνοι για τη διαφύλαξη των ψηφιακών περιουσιακών στοιχείων, οι επικεφαλής της ασφάλειας πληροφοριών (CISOs) έχουν εδώ και καιρό αντιμετωπίσει μια κραυγαλέα ανεπάρκεια στο διοικητικό τους οπλοστάσιο: δεν έχουν την εποπτεία του συνόλου των λειτουργιών τους που θα τους επέτρεπε να αντιληφθούν τη μεγάλη εικόνα ενώ θα μπορούσαν για να μεγεθύνετε γρήγορα ό,τι είναι κρίσιμο.

Η πρώτη έκδοση του Πλαισίου Κυβερνοασφάλειας του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας αναπτύχθηκε το 2014 ως απάντηση σε προεδρικό εκτελεστικό διάταγμα (EO 13636, Βελτίωση της Κυβερνοασφάλειας Υποδομών Ζωτικής Σημασίας) με στόχο να βοηθήσει τους οργανισμούς υποδομής ζωτικής σημασίας να μετριάσουν τον κίνδυνο κυβερνοασφάλειας. Η εντολή έδωσε εντολή στο NIST να συνεργαστεί με τους ενδιαφερόμενους της βιομηχανίας και της κυβέρνησης για να δημιουργήσει ένα εθελοντικό πλαίσιο βασισμένο στα υπάρχοντα πρότυπα, κατευθυντήριες γραμμές και πρακτικές. ο Πλαίσιο Κυβερνοασφάλειας 2.0 επεκτείνει τις υπάρχουσες πέντε βασικές λειτουργίες του (Ταυτοποίηση , Προστατέψτε, Ανιχνεύουν, Απάντηση, να Ανάκτηση) και περιγράφει τη συνάρτηση που συμπεριλήφθηκε πρόσφατα, Κυβερνώ.

Αναπόσπαστο μέρος του CISO

Η εισαγωγή της λειτουργίας Govern σημαίνει μια κρίσιμη αναγνώριση του κλάδου ότι η αποτελεσματική διαχείριση είναι αναπόσπαστο μέρος του ρόλου του CISO. Πρακτικά, η λειτουργία Govern γεφυρώνει ένα κρίσιμο κενό στην εργαλειοθήκη του CISO, επιτρέποντας μια πιο ολοκληρωμένη προσέγγιση στη διαχείριση. Προηγουμένως, οι CISO αντιμετώπιζαν προκλήσεις όσον αφορά την αντιμετώπιση βασικών ερωτημάτων και ανησυχιών που διέσχιζαν τα γραφεία τους, οδηγώντας σε κενά στην ικανότητά τους να διαχειρίζονται αποτελεσματικά. Δεν είχαν τρόπο να απαντήσουν πόσο καλά εφάρμοζαν τις πολιτικές, αν προχωρούσαν ή αν η τελευταία επένδυσή τους είχε σημαντικό αντίκτυπο στη συνολική απόδοση.

Για παράδειγμα, ποιο είναι το επίπεδο ετοιμότητας έναντι μιας συγκεκριμένης απειλής; Σήμερα, ο έλεγχος της επιβολής των πολιτικών και της υγείας των ελέγχων καθοδηγείται πολύ συχνά από μια φήμη ότι μια απειλή είναι σε τάση. Αυτή είναι μια αντιδραστική προσέγγιση που είναι πιθανό να έχει αποτελέσματα πολύ αργά. Μια πιο προληπτική προσέγγιση σημαίνει ότι οι ηγέτες ασφαλείας έχουν συνεχή ορατότητα στην απόδοση μιας σειράς ελέγχων και προγραμμάτων και μπορούν εύκολα να αποκτήσουν ενδείξεις μόλις παραβιαστεί μια πολιτική. Σήμερα, η διαδικασία συλλογής αυτών των σημείων δεδομένων από διάφορους ιδιοκτήτες προϊόντων είναι τόσο απογοητευτική που οι περισσότεροι CISO απλά τα παρατάνε και ζουν χωρίς αυτό. Αλλά να είστε σίγουροι ότι τη στιγμή που μια απειλή χτυπήσει την πόρτα τους, θα κυνηγήσουν επειγόντως αυτά τα δεδομένα. Ακόμα κι αν είναι πολύ αργά.

Η διαδικασία προμήθειας νέων προϊόντων είναι ένα ακόμη παράδειγμα όπου η αποτελεσματική διαχείριση έχει περιοριστεί. Για παράδειγμα, από τη στιγμή που ένας CISO αγοράσει ένα νέο εργαλείο προστασίας κωδικών, δεν υπάρχει εύκολος τρόπος να επιβεβαιώσει την εγγραφή του, εκτός εάν ζητήσει από την ομάδα να διαθέσει χρόνο για να υποβάλει μια αναφορά. Η απόδοση είναι μια ομάδα από διάφορες μετρήσεις: Σαρώνει σωστά το εργαλείο; Καλύπτει όλα τα σχετικά περιβάλλοντα; Είναι επαρκής ο μέσος χρόνος επίλυσης (MTTR); Τα περισσότερα συμβάντα χειρίζονται αυτόματα ή χειροκίνητα; Αντιμετωπίζει η ομάδα ανεπίλυτες προκλήσεις;

Σκεφτείτε ότι η προστασία κώδικα είναι μόνο ένα εργαλείο, από ένα ευρύ φάσμα δυνατοτήτων, μόνο στον κόσμο των τρωτών σημείων. Πολλαπλασιάστε το με δεκάδες εργαλεία και ερωτήσεις σε πολλά προγράμματα. Μια κακή διαδικασία διαχείρισης κοστίζει σε έναν οργανισμό δεκάδες μήνες και ώρες εργασίας. Δεν είναι εύκολα επαναλαμβανόμενο ή επεκτάσιμο.

Ενδυνάμωση στελεχών με διαφάνεια, ορατότητα

Αυτή η έλλειψη ορατότητας σε επιχειρησιακές πτυχές σημαίνει ότι οι CISO ουσιαστικά διαχειρίζονται στο σκοτάδι, καθιστώντας δύσκολη τη λήψη αποφάσεων και τον στρατηγικό σχεδιασμό με ενημέρωση. Έχουν μείνει με πολλά εργαλεία, πολλές αφηγήσεις δεδομένων και όλα τα κομμάτια για να συνδυάσουν το παζλ για να πουν μια ευρύτερη αφήγηση.

Η λειτουργία Govern στο NIST CSF 2.0 αντιμετωπίζει άμεσα αυτές τις ελλείψεις, παρέχοντας ένα πλαίσιο για αποτελεσματική διαχείριση. Προκειμένου το Govern να ενδυναμώσει τους CISO στους ρόλους διαχείρισης τους, θα πρέπει να ενσωματώνει πολλά βασικά χαρακτηριστικά.

Πρώτον, η διαφάνεια πρέπει να καταστεί πρωταρχικής σημασίας, επιτρέποντας στους CISO να αποκτήσουν γνώσεις σχετικά με την κατάσταση εφαρμογής των ελέγχων και να αξιολογήσουν το επίπεδο προστασίας που παρέχουν τα μέτρα ασφαλείας τους ως συνολική ιστορία και τάση, όχι εργαλείο προς εργαλείο. Για παράδειγμα, το γραφείο CISO ορίζει μια νέα πολιτική σύμφωνα με την οποία ένας χρήστης χωρίς έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) που αποτυγχάνει συνεχώς στην εκπαίδευση ηλεκτρονικού ψαρέματος θα αποκλειστεί από εταιρικά μηνύματα ηλεκτρονικού ταχυδρομείου. Για να δούμε αν επιβάλλεται η πολιτική, το CISO θα χρειαζόταν σημεία δεδομένων συνεχούς τάσης από δύο διαφορετικά εργαλεία και αυτά τα σημεία θα πρέπει να συσχετίζονται σε συνεχή βάση.

Δεύτερον, αυτό το επίπεδο σοφίας πρέπει να καθοδηγείται από ένα αυτοματοποιημένο σύστημα μετρήσεων, που δεν βασίζεται σε υπολογιστικά φύλλα. Αυτό το σύστημα θα ξεπερνούσε τις διαφορετικές γλώσσες και τις μετρήσεις που σχετίζονται με διαφορετικά εργαλεία και διαφορετικά προγράμματα, διασφαλίζοντας μια ολιστική προσέγγιση χωρίς να χαθεί στην τεχνική ορολογία.

Τρίτον, υπάρχει ανάγκη για μια απλή μέθοδο για τη μετάφραση της περίπλοκης στοίβας ασφαλείας σε όρους κατανοητούς από τα διοικητικά συμβούλια. Αυτό αντιμετωπίζει την αυξανόμενη ανάγκη των CISO να δικαιολογούν τις συνεχείς επενδύσεις εν μέσω δημοσιονομικών περιορισμών.

Τέλος, η παρακολούθηση της απόδοσης σε πραγματικό χρόνο και η συνεχής είναι απαραίτητη, επιτρέποντας μια διαρκή άποψη για τις τάσεις επιβολής της πολιτικής και διασφαλίζοντας ότι οι CISO δεν είναι απλώς αντιδραστικοί αλλά προορατικοί στη διαχείριση και την ενίσχυση των μέτρων κυβερνοασφάλειας. Τα υπολογιστικά φύλλα είναι στατικές χρονικές στιγμές και δεν λειτουργούν. Οι CISO πρέπει να κάνουν ένα μεγάλο άλμα προς τα εμπρός προς την εξορθολογισμένη και αυτοματοποιημένη διαχείριση, όπως έκανε το Monday.com για τους διαχειριστές έργων.

Ουσιαστικά, η λειτουργία Govern αποτελεί αναγνώριση του ότι η αποτελεσματική διαχείριση δεν είναι απλώς μια προσδοκία αλλά μια αναγκαιότητα για τους CISO. Με το CSF 2.0, οι CISO αποκτούν την έκτη αίσθηση για να κυβερνούν, να διαχειρίζονται και να μετρούν τις λειτουργίες τους στον κυβερνοχώρο με ένα νέο είδος γνώσης και διορατικότητας, και πιο επιδέξια, εγκαινιάζοντας μια νέα εποχή προορατικής και ενημερωμένης ηγεσίας.

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.