بعد عدة سنوات من المداولات، أصدر (NIST) إطار عمل الأمن السيبراني CSF 2.0. ويقدم الإطار الجديد توصيات طويلة الأمد للحد من المخاطر السيبرانية. تمدد الإطار CSF 2.0 خارج نطاق تركيزه الأولي على البنية التحتية الحيوية ليغطي مختلف قطاعات الصناعة و منظمات الأعمال بمختلف أحجامها. هذا التحديث مناسب للجميع، بغض النظر عن مستوى خبرتهم في مجال الأمن السيبراني.. وكانت NIST قد أصدرت النسخة الأولى من CSF في عام 2014.
أهمية الإدارة – الحوكمة
إن التغيير الهيكلي الأكثر أهمية في CSF 2.0 هو إضافة وظيفة سادسة، وهي الإدارة، والتي تدور حولها الوظائف الخمس السابقة وهي التحديد والحماية والكشف والاستجابة والاسترداد. عند النظر إلى هذه الوظائف معاً، فإنها توفر نظرة شاملة لدورة حياةإدارة مخاطر الأمن السيبراني. تهدف الوظيفة المضافة حديثاً إلى مساعدة المؤسسات على دمج إدارة مخاطر الأمن السيبراني في برامج إدارة مخاطر المؤسسة الأوسع. وبالتالي، تمثل هذه الوظيفة دور المايسترو الذي ينسق أولويات ومخرجات الوظائف الخمس الباقية للوصول بأمن المعلومات إلى المستوى المطلوب. و على التوازي، فإن هذا الإصدار يؤكد بشكل لا يحتمل التأويل أن الأمن السيبراني هو مصدر رئيس لمخاطر المؤسسات التي يجب على الإدارات التنبه لها ومعالجتها جنباً إلى جنب مع المخاطر الجوهرية مثل التمويل والسمعة. كما يُعنى الإطار أيضاً بمخاطر سلسلة التوريد ويعالج تكامل المصادر المفتوحة والمكونات التجارية والبرمجيات المطورة داخلياً والجاهزة.
هناك توجه في الإصدار الجديد من CSF إلى رفع جميع أنشطة إدارة مخاطر الأمن السيبراني إلى المستوى التنفيذي ومستوى مجلس الإدارة في المؤسسات.
NIST CSF 2.0 – نظرة عن قرب
يساعد هذا الإطار قادة أمن المعلومات CISOs على تحديد وبناء الضوابط التي من شأنها تحسين النتائج الأمنية، و توجيه معالجة حماية الأصول الهامة، وتقليل مخاطر الأمن المادي و تجنب مخاطر عدم الامتثال. و يدعم الحاجة إلى استراتيجيات قوية لإدارة المخاطر تلبي الطبيعة المتنوعة لمكونات برنامج أمن المعلومات مما يقلل تأثير التهديدات و يوفر السيطرة على المخاطر الأمنية المحتملة.
يدعم هذا التحديث من CSF دمج أمن سلسلة توريد البرامج بمنهجية إدارة المخاطر على مستوى المؤسسة. ويضمن ذلك أن المعايير الأمنية لجميع مكونات البرامج تتماشى مع الإستراتيجية الشاملة لإدارة المخاطر مما يسهل اتباع نهج موحد للحوكمة. و يؤكد الإطار على دور ثقافة المؤسسة في الأمن السيبراني. من خلال تعزيز بيئة واعية بالأمن، تشجع المؤسسات جميع أصحاب المصلحة على إعطاء الأولوية للأمن في عملياتهم، وهو أمر ضروري حتى لحماية سلاسل توريد البرامج التي تستخدم مزيجاً من المكونات.
تم تصميم الإطار المحدث بشكل يناسب منظمات باحتياجات ودرجات مختلفة من الخبرة في الأمن السيبراني. يمكن للمؤسسات الأقل خبرة التعلم من نجاحات الآخرين واختيار ما يهمهم من مجموعة من أمثلة تطبيق CSF 2.0 وأدلة البدء السريع المصممة لأنواع محددة من المستخدمين، مثل الشركات الصغيرة ومديري مخاطر المؤسسات والمؤسسات التي تسعى إلى حماية أمن سلاسل التوريد.
و يوفر CSF 2.0 أدوات تبسط الطريقة التي يمكن بها للمؤسسات اعتماده مما يسمح للمستخدمين بتصفح البيانات والتفاصيل والبحث فيها. بالإضافة إلى ذلك، يوفر CSF 2.0 فرصة للبحث ضمن مجموعة من المراجع المعرفية التي توضح للمؤسسات كيفية ربط إجراءاتها الحالية بـ CSF.
لماذا نستخدم NIST CSF؟
فيما يلي الأسباب التي تجعل إطار عمل الأمن السيبراني (NIST CSF) واحداً من أفضل الأطر:
- يأخذ NIST CSF نظرة شاملة للأمن السيبراني. إنه يعالج الجوانب التقنية و تلك المتعلقة بالأشخاص والعمليات. كما يدرك الطبيعة المترابطة للأمن السيبراني ويضمن أخذ جميع المكونات الأساسية في الاعتبار عند تطوير استراتيجية الأمن السيبراني.
- تم تصميم الإطار ليكون قابلاً للتكيف وقابلاً للتطوير، مما يسمح للمؤسسات بتكييفه وفقاً لاحتياجاتها وملفات تعريف المخاطر. وهو يستوعب الصناعات المتنوعة الأحجام و التخصصات والتعقيدات التكنولوجية، مما يجعله قابلاً للتطبيق على مختلف المنظمات.
- اكتسب NIST CSF قبولاً واعترافاً واسع النطاق داخل مجتمع الأمن السيبراني. ولذلك يتم دعمه والترويج له من قبل قادة الصناعة ومتخصصي الأمن السيبراني على مستوى العالم، مما يساهم في مصداقيته و صورته كإطار جدير بالثقة.
- يعتمد الإطار نهجا قائما على المخاطر. مع التركيز على أهمية تحديد وتقييم وإدارة مخاطر الأمن السيبراني بشكل فعال. يمكن للمؤسسات تخصيص الموارد بكفاءة والتركيز على حماية أصولها الأكثر أهمية من خلال إعطاء الأولوية لإدارة المخاطر.
- تم تحسين NIST CSF بشكل مستمر على مر السنين، مع الاستفادة من خبرات ومدخلات متخصصي الأمن السيبراني وقادة الصناعة والهيئات الحكومية. يعكس نضج هذا الإطار قدرته على معالجة التهديدات الناشئة، والتكيف مع التقنيات المتطورة، ودمج أفضل ممارسات الأمن السيبراني.
- تم تصميم NIST CSF لاستكمال معايير وإرشادات الأمن السيبراني والتكامل معها، مثل ISO 27001 وCOBIT وPCI DSS. يمكّن هذا التوافق المؤسسات من الاستفادة من استثمارات الأمن السيبراني ومواءمة ممارساتها مع المعايير المعترف بها في الصناعة.
- بعزز NIST CSF ثقافة التحسين المستمر . ويؤكد على أهمية تقييم وتحديث ممارسات الأمن السيبراني بانتظام للتكيف مع التهديدات والتقنيات والتغيرات التنظيمية الجديدة. ومن خلال اتباع هذا المبدأ، يمكن للمؤسسات البقاء في صدارة التهديدات السيبرانية والحفاظ على وضع أمني استباقي.
CSF 2.0 – كلمة أخيرة
يبدو أن NIST تخطط لمواصلة تعزيز مواردها وجعل CSF مصدراً مفيداً لمجموعة أوسع من المستخدمين. بينما يقوم المستخدمون بتخصيص CSF ليلائم احتياجاتهم فإن المطلوب هو مشاركة تجاربهم ونجاحاتهم، لأن ذلك سيساعد المنظمات والقطاعات وحتى دول بأكملها على فهم مخاطر الأمن السيبراني وإدارتها بشكل أفضل.
