CISO Sexto Sentido: Função de Governança do NIST CSF 2.0

COMENTÁRIO

Os líderes de segurança cibernética estão constantemente em busca de ferramentas e estratégias para navegar no complexo cenário das ameaças digitais. Mas, apesar de serem consistentemente responsabilizados pela proteção dos ativos digitais, os diretores de segurança da informação (CISOs) há muito que lutam contra uma deficiência flagrante no seu arsenal de gestão: falta-lhes a supervisão de todas as suas operações que lhes permitiria ter uma visão geral e, ao mesmo tempo, ser capazes de para ampliar rapidamente o que é crítico.

A primeira versão da Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia foi desenvolvida em 2014 em resposta a uma ordem executiva presidencial (EO 13636, Melhorando a segurança cibernética de infraestruturas críticas) com o objetivo de ajudar organizações de infraestrutura crítica a mitigar os riscos de segurança cibernética. A ordem orientou o NIST a trabalhar com as partes interessadas da indústria e do governo para criar uma estrutura voluntária baseada nos padrões, diretrizes e práticas existentes. O Estrutura de segurança cibernética 2.0 expande suas cinco funções básicas existentes (Identifique, Proteja, Detectar, Responder e Recuperar) e descreve a função recentemente incluída, Governo.

Parte integrante do CISO

A introdução da função Governar significa um reconhecimento crucial da indústria de que a gestão eficaz é parte integrante da função do CISO. Em termos práticos, a função Governar preenche uma lacuna crítica no kit de ferramentas do CISO, permitindo uma abordagem mais abrangente à gestão. Anteriormente, os CISOs encontravam desafios na abordagem das principais questões e preocupações que cruzavam as suas mesas, levando a lacunas na sua capacidade de gerir eficazmente. Não tinham forma de responder até que ponto estavam a aplicar as políticas, se estavam a progredir ou se o seu mais recente investimento teve um impacto significativo no desempenho global.

Por exemplo, qual é o nível de prontidão contra uma ameaça específica? Hoje, a verificação da aplicação das políticas e da saúde dos controlos é muitas vezes motivada por rumores de que uma ameaça é uma tendência. Esta é uma abordagem reativa que provavelmente produzirá resultados tarde demais. Uma abordagem mais proativa significa que os líderes de segurança têm visibilidade contínua do desempenho de uma série de controlos e programas e podem facilmente obter indicações assim que uma política for violada. Hoje, o processo de coleta desses dados de vários proprietários de produtos é tão frustrante que a maioria dos CISOs simplesmente desiste e vive sem eles. Mas tenha certeza de que no momento em que uma ameaça bater à sua porta, eles irão perseguir esses dados com urgência. Mesmo que seja tarde demais.

O processo de aquisição de novos produtos é mais um exemplo de onde a gestão eficaz tem sido limitada. Por exemplo, quando um CISO compra uma nova ferramenta de proteção de código, não há uma maneira fácil de confirmar sua inscrição, a menos que peça à equipe que reserve tempo para enviar um relatório. O desempenho é um grupo de várias medições: A ferramenta verifica corretamente? Abrange todos os ambientes relevantes? O tempo médio para resolução (MTTR) é suficiente? A maioria dos eventos é tratada automaticamente ou manualmente? A equipe enfrenta desafios não resolvidos?

Considere que a proteção de código é apenas uma ferramenta, dentre uma ampla gama de capacidades, apenas dentro do mundo das vulnerabilidades. Multiplique isso por dezenas de ferramentas e perguntas em vários programas. Um processo de gestão deficiente custa a uma organização dezenas de meses e horas de trabalho. Não é facilmente repetível ou escalável.

Capacitando Executivos com Transparência e Visibilidade

Esta falta de visibilidade dos aspectos operacionais significa que os CISOs estão essencialmente a gerir no escuro, dificultando a tomada de decisões informadas e o planeamento estratégico. Eles ficam com muitas ferramentas, muitas narrativas de dados isoladas e todas as peças para juntar e contar uma narrativa mais ampla.

A função Governar no NIST CSF 2.0 aborda diretamente essas deficiências, fornecendo uma estrutura para uma gestão eficaz. Para que o Governo possa capacitar os CISO nas suas funções de gestão, deve incorporar vários atributos-chave.

Em primeiro lugar, a transparência deve tornar-se fundamental, permitindo que os CISOs obtenham informações sobre o estado de implementação dos controlos e avaliem o nível de proteção fornecido pelas suas medidas de segurança como uma história e tendência geral, e não ferramenta a ferramenta. Por exemplo, o escritório CISO define uma nova política segundo a qual um usuário sem autenticação multifator (MFA) que falhar continuamente no treinamento de phishing será bloqueado para receber e-mails corporativos. Para verificar se a política está a ser aplicada, o CISO precisaria de pontos de dados de tendências contínuas de duas ferramentas diferentes, e estes pontos precisariam de ser correlacionados continuamente.

Em segundo lugar, esta camada de sabedoria precisa de ser impulsionada por um sistema de métricas automatizado, e não baseado em folhas de cálculo. Este sistema transcenderia as diversas linguagens e medidas associadas a diferentes ferramentas e diferentes programas, garantindo uma abordagem holística sem se perder no jargão técnico.

Terceiro, é necessário um método simples para traduzir a intrincada pilha de segurança em termos compreensíveis para os conselhos executivos. Isto aborda a crescente necessidade dos CISOs justificarem os investimentos contínuos em meio a restrições orçamentárias.

Por último, a monitorização contínua e em tempo real do desempenho é essencial, permitindo uma visão permanente das tendências de aplicação de políticas e garantindo que os CISOs não sejam apenas reativos, mas proativos na gestão e melhoria das suas medidas de segurança cibernética. As planilhas são momentos estáticos no tempo e não operacionais. Os CISOs precisam dar um grande salto em direção ao gerenciamento simplificado e automatizado, assim como a Monday.com fez com os gerentes de projeto.

Em essência, a função Governar é um reconhecimento de que a gestão eficaz não é apenas uma expectativa, mas uma necessidade para os CISOs. Com o CSF 2.0, os CISOs ganham o seu sexto sentido para governar, gerir e medir as suas operações de segurança cibernética com um novo tipo de conhecimento e visão, e de forma mais hábil, inaugurando uma nova era de liderança proativa e informada.

Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
Fonte: https://www.darkreading.com/cybersecurity-operations/ciso-sixth-sense-nist-csf-2-govern-function

Inteligência de dados generativa

CISO Sexto Sentido: Função de Governança do NIST CSF 2.0

Parte integrante do CISO

Capacitando Executivos com Transparência e Visibilidade

Bitcoin lidera vendas de NFT em 30 dias, ultrapassando 24 concorrentes de Blockchain

Histórias de tecnologia incríveis desta semana da web (até 27 de abril)

Inteligência mais recente

Priorizar a vantagem do pioneiro sobre a segurança deixa os protocolos de definição vulneráveis a hackers – Nikita Ovchinnik

HKTDC revela eventos de presentes, impressão, embalagens e licenciamento

Carlie Hanson presta homenagem com seu cover sincero de 'Nutshell' do Alice In Chains

Hyundai construirá mais híbridos para complementar a desaceleração da demanda de EV – Autoblog

Drake ameaçado com processo por causa dos vocais de Tupac AI

Trump Bitcoin NFTs exclusivos com ordinais personalizados para compradores de 'Mugshot Edition' - CryptoInfoNet