Zoek
Sluit dit zoekvak.

NIST publiceert Cybersecurity Framework 2.0: 3 belangrijke punten

NIST heeft maandag zijn Cybersecurity Framework 2.0 (CFS 2.0) uitgebracht, met een nieuwe kernstructuur, een hulpmiddelencatalogus en een algehele toepassingsscope voor de reeds veelgebruikte bron.

De langverwachte definitieve versie van CFS 2.0 bouwt voort op jaren van samenwerking en feedback vanuit de industrie, academische wereld en overheidsinstanties, zowel in de Verenigde Staten als over de hele wereld, aldus NIST, en omvat wijzigingen die bedoeld zijn om voortdurend evoluerende cyberbeveiligingsrisico’s, behoeften en technologieën aan te pakken.

Het document en de bijbehorende bronnen zijn ook geïnformeerd door openbare opmerkingen die zijn ingediend voor een conceptversie van het raamwerk die in augustus is gepubliceerd.

“Het NIST Cybersecurity Framework wordt door velen beschouwd als de grootvader van raamwerken die definiëren wat er moet bestaan in een cyberbeveiligingsprogramma,” zei Ken Dunham, cyberdreigingsdirecteur bij Qualys’ Threat Research Unit, in een e-mail aan SC Media. “Er hebben zich significante technologische veranderingen voorgedaan sinds de oprichting van het raamwerk, naast de noodzaak van verbeteringen in duidelijkheid, afstemming en implementatie naar consistent gebruik toe.”

Hier zijn drie belangrijke punten uit de CFS 2.0 van NIST en de wijzigingen die het aanbrengt in deze verbeteringen:

1. CFS 2.0 bedient een breder publiek, zonder een “one-size-fits-all” benadering

Het Cybersecurity Framework van NIST, oorspronkelijk getiteld “Framework for Improving Critical Infrastructure”, werd voor het eerst gepubliceerd in 2014. Een decennium later is de versie 2.0 aangepast om van toepassing te zijn op elke sector, niet alleen kritieke infrastructuur, en omvat het een scala aan organisaties variërend in omvang en volwassenheid van het cyberbeveiligingsprogramma.

Toen de conceptversie van CFS 2.0 werd gepubliceerd, merkte de hoofdontwikkelaar van het raamwerk, Cherilyn Pascoe, op dat enkele van de grootste cyberdreigingen van vandaag – zoals supply chain-aanvallen en ransomware – van invloed zijn op organisaties, zowel groot als klein, en in vele industrieën.

“We willen ervoor zorgen dat het een instrument is dat nuttig is voor alle sectoren, niet alleen die zijn aangewezen als kritiek,” zei Pascoe in een verklaring.

Tegelijkertijd behoudt het raamwerk een mate van flexibiliteit die het mogelijk maakt om te worden aangepast aan de specifieke behoeften van een organisatie, waarbij een “one-size-fits-all” benadering wordt vermeden.

“Elke organisatie heeft zowel gemeenschappelijke als unieke risico’s, evenals variërende risicobereidheid en -tolerantie, specifieke missies en doelstellingen om die missies te bereiken. Noodzakelijkerwijs zal de manier waarop organisaties het CSF implementeren variëren,” verklaart het voorwoord van het document.

Met dit doel voor ogen wordt CFS 2.0 ook geleverd met twee nieuwe hulpmiddelen: Community Profiles en een Small Business Quick-Start Guide. Community Profiles zijn op maat gemaakt voor specifieke sectoren, technologieën, dreigingstypen of andere gedeelde contexten, waarbij elk een gemeenschappelijke basislijn van resultaten vaststelt om CFS-geïnformeerde cyberbeveiligingsrisicobeheerprogramma’s te ontwikkelen. Organisaties kunnen de Community Profiles gebruiken die het best van toepassing zijn op hun eigen situatie als basis om hun eigen Organizational Target Profile onder het raamwerk op te bouwen, in plaats van helemaal opnieuw te beginnen of met een meer algemeen sjabloon.

De Small Business Quick-Start Guide biedt specifieke hulp voor kleine tot middelgrote bedrijven om de implementatie van CFS 2.0 te starten, met specifieke begeleiding voor elk van de zes belangrijkste functies die zijn opgenomen in de CFS 2.0 Core: Govern, Identify, Protect, Detect, Respond en Recover.

2. Nieuwe governance focus integreert cybersecurity in bredere organisatorische besluitvorming

Een van de grootste veranderingen in het Cybersecurity Framework van NIST in versie 2.0 is de toevoeging van de “Govern” functie aan de oorspronkelijke vijf pilaren hierboven vermeld. NIST conceptualiseert de “Govern” functie als zijnde centraal voor de rest van de pilaren, waarbij de holistische verbinding met alle andere CFS-functies wordt gesymboliseerd.

Deze toevoeging dient verschillende doelen: het is gericht op het integreren van cyberbeveiliging met bredere enterprise risk management (ERM), rollen en verantwoordelijkheden, beleid en toezicht binnen een organisatie, evenals het beter ondersteunen van de communicatie van cyberbeveiligingsrisico’s aan leidinggevenden.

“De toevoeging van Govern als een basisfunctie van het Cybersecurity Framework adresseert een groot stuk dat eerder ontbrak,” vertelde Richard Aviles, senior solution architect voor DoControl, aan SC Media. “De behoefte aan goed geïnformeerde en correct gecommuniceerde beleidslijnen is goed begrepen, dus de toevoeging ervan aan de NIST 2.0 CFS helpt een meer compleet kader te creëren waar organisaties omheen kunnen bouwen.”

Daarnaast legt de “Govern” functie een betere basis voor risicobeheer in de supply chain van cyberbeveiliging als een centraal onderdeel van de CFS Core. Aviles merkte op dat de nieuwe CFS-richtlijnen voor risicobeheer in de supply chain “goed doordacht en uitgebreid zijn, zo niet volledig.”

De aanzienlijke financiële en reputatiekosten van grote ransomware- en supply chain-inbreuken in de afgelopen jaren, gecombineerd met toenemende regelgevende druk, tonen de noodzaak aan voor organisaties om cyberbeveiliging op te nemen in hun bredere risicobeheerstrategie.

“[CFS 2.0] benadrukt de urgentie om serieus en consistent cyber risicobeheer aan te pakken. NIST 2.0 geeft organisatiemanagement de opdracht om cyber risicobeheer naadloos te integreren als een integraal facet van algemene risicobeheeractiviteiten,” zei Lior Bar Lev, vice-president strategie bij CYE, tegen SC Media.

3. Overvloed aan nieuwe bronnen vergemakkelijkt de implementatie en continu gebruik van CFS 2.0

NIST streeft ernaar om de adoptie van CSF 2.0 te stroomlijnen met een reeks tools en bronnen die de release vergezellen, waaronder de nieuwe Quick Start Guides en een repository van online bronnen die blijven uitbreiden en updates ontvangen na de publicatie van het raamwerk, volgens NIST.

Laurie E. Locascio, directeur van NIST, zei in een verklaring dat CFS 2.0 “niet alleen gaat over één document. Het gaat over een reeks hulpmiddelen die kunnen worden aangepast en individueel of in combinatie in de loop van de tijd kunnen worden gebruikt naarmate de cybersecurity-behoeften van een organisatie veranderen en de capaciteiten evolueren.”

Naast informatieve verwijzingen – bestaande normen, richtlijnen, kaders, voorschriften en andere informatiebronnen specifiek voor elk resultaat dat wordt beschreven in de CFS Core – omvat de catalogus van NIST met CFS-bronnen ook implementatievoorbeelden voor elk resultaat. Deze voorbeelden zijn niet alleen beschikbaar als een afzonderlijk document, maar zijn ook opgenomen in de doorzoekbare NIST CFS 2.0 Reference Tool voor meer gestroomlijnde toegang tot gedetailleerde informatie over specifieke CFS Core-componenten.

Het nieuwe raamwerk profiteert ook van de nieuwste richtlijnen die zijn gepubliceerd door NIST en andere bronnen over opkomende bedreigingen en technologieën, zoals kunstmatige intelligentie; bijvoorbeeld, CFS 2.0 kan worden gebruikt samen met NIST’s AI Risk Management Framework dat in januari 2023 is gepubliceerd.

Naarmate bedreigingen en technologieën blijven evolueren, kan de “CSF-portfolio” van NIST worden bijgewerkt met aanvullende bronnen, en NIST moedigt de indiening van aanbevolen bronnen aan op zijn e-mailadres cyberframework@nist.gov.

“Uiteindelijk hangt de beslissing om NIST CSF 2.0 te adopteren af ​​van individuele organisatorische behoeften en risicoprofielen. Het begrijpen van de mogelijke voordelen en het overwegen van het evoluerende regelgevende landschap maakt echter een sterk argument voor proactieve betrokkenheid bij dit bijgewerkte cybersecurity-raamwerk,” zei Ashley Leonard, CEO van Syxsense.

Halen jullie alles uit de Technologie en is jullie Cyber Security niveau goed genoeg?

Als dit nog niet het geval is of je weet het niet zeker? Maak dan een afspraak voor een gratis consult. Wij laten je zien wat er mogelijk is en leren je wat Cyber Security is.