פַּרשָׁנוּת

מנהיגי אבטחת סייבר מחפשים כל הזמן כלים ואסטרטגיות לנווט בנוף המורכב של איומים דיגיטליים. אך למרות שהם נושאים באחריות עקבית לשמירה על נכסים דיגיטליים, קציני אבטחת מידע ראשיים (CISOs) התמודדו זה מכבר עם ליקוי בולט בארסנל הניהול שלהם: חסר להם הפיקוח על כל הפעולות שלהם שיאפשר להם לתפוס את התמונה הכוללת תוך כדי יכולתם. כדי להתקרב במהירות למה שחשוב.

הגרסה הראשונה של מסגרת אבטחת הסייבר של המכון הלאומי לתקנים וטכנולוגיה פותחה בשנת 2014 בתגובה לצו נשיאותי (EO 13636, שיפור אבטחת סייבר של תשתית קריטית) שמטרתו לסייע לארגוני תשתית קריטית להפחית את סיכוני אבטחת הסייבר. הצו הנחה את NIST לעבוד עם בעלי עניין בתעשייה ובממשלה כדי ליצור מסגרת וולונטרית המבוססת על סטנדרטים, הנחיות ופרקטיקות קיימים. ה מסגרת אבטחת סייבר 2.0 מרחיב את חמש הפונקציות הבסיסיות הקיימות שלו (לזהות, להגן, לְגַלוֹת, להגיב, ו להחלים) ומתאר את הפונקציה החדשה שנכללה, ממשלה.

אינטגרלי ל-CISO

הצגת פונקציית הממשל מסמלת הכרה מכרעת בתעשייה שניהול יעיל הוא חלק בלתי נפרד מתפקיד ה-CISO. מבחינה מעשית, פונקציית ה-Govern מגשרת על פער קריטי בערכת הכלים של ה-CISO, ומאפשרת גישה מקיפה יותר לניהול. בעבר, CISOs נתקלו באתגרים בטיפול בשאלות מפתח וחששות שחצו על שולחנותיהם, והובילו לפערים ביכולתם לנהל ביעילות. לא הייתה להם דרך לענות עד כמה הם אוכפים מדיניות, אם הם מתקדמים, או אם להשקעה האחרונה שלהם הייתה השפעה משמעותית על הביצועים הכוללים.

למשל, מהי רמת המוכנות נגד איום ספציפי? כיום, בדיקת אכיפת מדיניות ותקינות הבקרות מונעת לעתים קרובות מדי על ידי שמועה כי איום נמצא במגמה. זוהי גישה תגובתית שצפויה לשאת תוצאות מאוחר מדי. גישה פרואקטיבית יותר פירושה שלמנהיגי אבטחה יש נראות מתמשכת לגבי הביצועים של מגוון בקרות ותכניות ויכולים לקבל בקלות אינדיקציות ברגע שמדיניות הופרצה. כיום, תהליך איסוף נקודות הנתונים הללו מבעלי מוצרים שונים הוא כל כך מתסכל שרוב ה-CISO פשוט מוותרים וחיים בלעדיו. אבל תהיו בטוחים שברגע שאיום ידפוק על דלתם, הם ירדפו אחר הנתונים האלה בדחיפות. גם אם זה מאוחר מדי.

תהליך רכש מוצר חדש הוא עוד דוגמה למקום שבו הניהול האפקטיבי הוגבל. לדוגמה, ברגע ש-CISO קונה כלי חדש להגנת קוד, אין דרך קלה לאשר את ההרשמה שלו, אלא אם הם מבקשים מהצוות להקצות זמן להגשת דוח. ביצועים הם קבוצה של מדידות שונות: האם הכלי סורק כראוי? האם זה מכסה את כל הסביבות הרלוונטיות? האם הזמן הממוצע לפתרון (MTTR) מספיק? האם רוב האירועים מטופלים באופן אוטומטי או ידני? האם הצוות מתמודד עם אתגרים לא פתורים?

קחו בחשבון שהגנת קוד היא רק כלי אחד, מתוך מגוון רחב של יכולות, רק בתוך עולם הפגיעות. הכפל זאת בעשרות כלים ושאלות על פני מספר תוכניות. תהליך ניהול לקוי עולה לארגון עשרות חודשים ושעות עבודה. זה לא ניתן לשחזור או להרחבה בקלות.

העצמת מנהלים עם שקיפות, נראות

חוסר הנראות הזה בהיבטים תפעוליים פירושו ש-CISOs בעצם מנהלים בחושך, מה שמקשה על קבלת החלטות מושכלת ותכנון אסטרטגי. הם נותרים עם כלים רבים, נרטיבים רבים של נתונים מוצקים, וכל החלקים שיש לפזר יחד כדי לספר נרטיב רחב יותר.

פונקציית ה-Govern ב-NIST CSF 2.0 מטפלת ישירות בחסרונות הללו, ומספקת מסגרת לניהול יעיל. כדי ש-Govern תעצים CISOs בתפקידי הניהול שלהם, היא צריכה לגלם כמה תכונות מפתח.

ראשית, השקיפות חייבת להיות עיקרית, ולאפשר ל-CISO לקבל תובנות לגבי מצב היישום של בקרות ולהעריך את רמת ההגנה שמספקת אמצעי האבטחה שלהם כסיפור ומגמה כללית, לא כלי אחר כלי. לדוגמה, משרד ה-CISO מגדיר מדיניות חדשה לפיה משתמש ללא אימות רב-גורמי (MFA) אשר נכשל בהדרכה מתמשכת בדיוג, ייחסם מהודעות דוא"ל ארגוניות. כדי לראות אם המדיניות נאכפת, ה-CISO יזדקק לנקודות נתונים מגמתיות מתמשכות משני כלים שונים, ונקודות אלו יצטרכו להיות מתואם על בסיס מתמשך.

שנית, שכבת חוכמה זו צריכה להיות מונעת על ידי מערכת מדדים אוטומטית, שאינה מבוססת על גיליונות אלקטרוניים. מערכת זו תתעלה על השפות והמידות המגוונות הקשורות לכלים שונים ותכניות שונות, ותבטיח גישה הוליסטית מבלי ללכת לאיבוד בז'רגון הטכני.

שלישית, יש צורך בשיטה פשוטה לתרגם את ערימת האבטחה המורכבת למונחים המובנים על ידי מועצות המנהלים. זה נותן מענה לצורך הגובר של CISOs להצדיק השקעות מתמשכות בתוך מגבלות תקציב.

לבסוף, ניטור בזמן אמת ורציף של ביצועים הוא חיוני, המאפשר ראייה מתמדת של מגמות אכיפת מדיניות ומבטיח ש-CISOs לא רק תגובתיים אלא פרואקטיביים בניהול ושיפור אמצעי אבטחת הסייבר שלהם. גיליונות אלקטרוניים הם רגעים סטטיים בזמן ואינם מבצעיים. CISOs צריכים לעשות קפיצת מדרגה גדולה לעבר ניהול יעיל ואוטומטי, בדיוק כמו Monday.com עשה עבור מנהלי פרויקטים.

בעצם, פונקציית הממשל היא הכרה בכך שניהול יעיל אינו רק ציפייה אלא הכרח עבור CISOs. עם CSF 2.0, CISOs משיגים את החוש השישי שלהם לשלוט, לנהל ולמדוד את פעולות אבטחת הסייבר שלהם עם סוג חדש של ידע ותובנה, ובאופן מיומן יותר, מובילים לעידן חדש של מנהיגות יזומה ומושכלת.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-operations/ciso-sixth-sense-nist-csf-2-govern-function