Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Sechster Sinn des CISO: Die Regierungsfunktion von NIST CSF 2.0

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 119

KOMMENTAR

Führungskräfte im Bereich Cybersicherheit sind ständig auf der Suche nach Tools und Strategien, um sich in der komplexen Landschaft digitaler Bedrohungen zurechtzufinden. Obwohl die Chief Information Security Officers (CISOs) stets für den Schutz digitaler Vermögenswerte verantwortlich gemacht werden, kämpfen sie seit langem mit einem eklatanten Mangel in ihrem Management-Arsenal: Ihnen fehlt die Kontrolle über ihre gesamten Abläufe, die es ihnen ermöglichen würde, das Gesamtbild zu erfassen und gleichzeitig in der Lage zu sein um schnell auf das Wesentliche heranzuzoomen.

Die erste Version des Cybersecurity Framework des National Institute of Standards and Technology wurde 2014 als Reaktion auf eine Präsidialverordnung (EO 13636, Verbesserung der Cybersicherheit kritischer Infrastrukturen) zielt darauf ab, Organisationen kritischer Infrastruktur dabei zu helfen, Cybersicherheitsrisiken zu mindern. Der Auftrag wies NIST an, mit Interessenvertretern aus Industrie und Regierung zusammenzuarbeiten, um einen freiwilligen Rahmen zu schaffen, der auf bestehenden Standards, Richtlinien und Praktiken basiert. Der Cybersecurity Framework 2.0 erweitert seine bestehenden fünf Grundfunktionen (Identifikation, Schützen, Entdecken, Reagieren und Entspannung) und beschreibt die neu hinzugefügte Funktion, Regierung.

Integraler Bestandteil des CISO

Die Einführung der Govern-Funktion stellt eine entscheidende Anerkennung der Branche dar, dass effektives Management ein integraler Bestandteil der CISO-Rolle ist. In praktischer Hinsicht schließt die Govern-Funktion eine kritische Lücke im Toolkit des CISO und ermöglicht einen umfassenderen Managementansatz. Zuvor standen CISOs vor Herausforderungen bei der Beantwortung zentraler Fragen und Bedenken, die über ihren Schreibtisch gingen, was zu Lücken in ihrer Fähigkeit zur effektiven Verwaltung führte. Sie hatten keine Möglichkeit zu beantworten, wie gut sie die Richtlinien durchsetzten, ob sie Fortschritte machten oder ob ihre letzte Investition einen erheblichen Einfluss auf die Gesamtleistung hatte.

Wie hoch ist beispielsweise die Bereitschaft gegen eine bestimmte Bedrohung? Heutzutage wird die Überprüfung der Durchsetzung von Richtlinien und des Zustands von Kontrollen allzu oft durch das Gerücht vorangetrieben, dass eine Bedrohung im Trend liegt. Dies ist ein reaktiver Ansatz, der wahrscheinlich zu spät zu Ergebnissen führt. Ein proaktiverer Ansatz bedeutet, dass Sicherheitsverantwortliche kontinuierlich Einblick in die Leistung einer Reihe von Kontrollen und Programmen haben und leicht Hinweise erhalten können, sobald eine Richtlinie verletzt wurde. Heutzutage ist das Sammeln dieser Datenpunkte von verschiedenen Produktbesitzern so frustrierend, dass die meisten CISOs einfach aufgeben und ohne sie leben. Seien Sie jedoch versichert, dass sie diese Daten sofort verfolgen werden, sobald eine Bedrohung an ihre Tür klopft. Auch wenn es zu spät ist.

Der Prozess der Beschaffung neuer Produkte ist ein weiteres Beispiel dafür, dass ein effektives Management nur begrenzt möglich ist. Sobald ein CISO beispielsweise ein neues Code-Schutz-Tool kauft, gibt es keine einfache Möglichkeit, dessen Registrierung zu bestätigen, es sei denn, er bittet das Team, Zeit für die Übermittlung eines Berichts einzuplanen. Leistung ist eine Gruppe verschiedener Messungen: Führt das Tool ordnungsgemäß zum Scannen durch? Deckt es alle relevanten Umgebungen ab? Ist die mittlere Lösungszeit (MTTR) ausreichend? Werden die meisten Ereignisse automatisch oder manuell behandelt? Steht das Team vor ungelösten Herausforderungen?

Bedenken Sie, dass Code-Schutz nur ein Werkzeug aus einer Vielzahl von Funktionen ist, und zwar nur innerhalb der Welt der Schwachstellen. Multiplizieren Sie dies mit Dutzenden von Tools und Fragen in mehreren Programmen. Ein schlechter Managementprozess kostet ein Unternehmen Dutzende Monate und Arbeitsstunden. Es ist nicht leicht wiederholbar oder skalierbar.

Führungskräfte mit Transparenz und Sichtbarkeit stärken

Dieser Mangel an Einblick in betriebliche Aspekte führt dazu, dass CISOs im Wesentlichen im Dunkeln agieren, was eine fundierte Entscheidungsfindung und strategische Planung erschwert. Ihnen bleiben viele Tools, viele isolierte Datenerzählungen und alle Teile, die sie zusammenfügen müssen, um eine umfassendere Erzählung zu erzählen.

Die Regierungsfunktion in NIST CSF 2.0 geht diese Mängel direkt an und bietet einen Rahmen für ein effektives Management. Damit Govern CISOs in ihren Führungsrollen befähigen kann, sollte es mehrere Schlüsselattribute verkörpern.

Erstens muss Transparenz an erster Stelle stehen, damit CISOs Einblicke in den Implementierungsstatus von Kontrollen gewinnen und das durch ihre Sicherheitsmaßnahmen gebotene Schutzniveau als Gesamtgeschichte und Trend und nicht Tool für Tool beurteilen können. Beispielsweise definiert das CISO-Büro eine neue Richtlinie, nach der ein Benutzer ohne Multifaktor-Authentifizierung (MFA), der die Phishing-Schulung kontinuierlich nicht besteht, für Unternehmens-E-Mails gesperrt wird. Um festzustellen, ob die Richtlinie durchgesetzt wird, benötigt der CISO kontinuierliche Trenddatenpunkte aus zwei verschiedenen Tools, und diese Punkte müssten fortlaufend korreliert werden.

Zweitens muss diese Ebene der Weisheit durch ein automatisiertes Metriksystem gesteuert werden, das nicht auf Tabellenkalkulationen basiert. Dieses System würde die verschiedenen Sprachen und Messungen, die mit verschiedenen Tools und Programmen verbunden sind, überwinden und einen ganzheitlichen Ansatz gewährleisten, ohne sich im Fachjargon zu verlieren.

Drittens besteht Bedarf an einer unkomplizierten Methode, um den komplexen Sicherheitsstapel in für die Geschäftsleitung verständliche Begriffe zu übersetzen. Damit wird dem zunehmenden Bedarf von CISOs Rechnung getragen, laufende Investitionen trotz Budgetbeschränkungen zu rechtfertigen.

Schließlich ist eine kontinuierliche Überwachung der Leistung in Echtzeit unerlässlich, um einen ständigen Überblick über Trends bei der Richtliniendurchsetzung zu erhalten und sicherzustellen, dass CISOs bei der Verwaltung und Verbesserung ihrer Cybersicherheitsmaßnahmen nicht nur reaktiv, sondern auch proaktiv sind. Tabellenkalkulationen sind statische Momente und nicht betriebsbereit. CISOs müssen einen großen Schritt in Richtung einer optimierten und automatisierten Verwaltung machen, so wie es Monday.com für Projektmanager getan hat.

Im Wesentlichen ist die Govern-Funktion eine Anerkennung dafür, dass effektives Management für CISOs nicht nur eine Erwartung, sondern eine Notwendigkeit ist. Mit CSF 2.0 erhalten CISOs ihren sechsten Sinn, um ihre Cybersicherheitsabläufe mit einer neuen Art von Wissen und Erkenntnissen und geschickter zu steuern, zu verwalten und zu messen, und läuten so eine neue Ära proaktiver und informierter Führung ein.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.