تفريغ إطار عمل الأمن الإلكتروني الخاص بالمعهد الوطني للمعايير والتقنية (NIST) 2.0

يساعد إطار عمل الأمن الإلكتروني (CSF) من NIST المؤسسات على تحسين إدارة المخاطر باستخدام لغة مشتركة تركِّز على محركات الأعمال لتعزيز الأمن الإلكتروني.

تم إصدار NIST CSF 1.0 في فبراير 2014، والإصدار 1.1 في أبريل 2018. في فبراير 2024، أصدرت NIST أحدث إصدار من إطار العمل للأمن الإلكتروني: النسخة 2.0. بدأت رحلة الانتقال إلى CSF 2.0 بطلب للحصول على المعلومات (RFI) في فبراير 2022. على مدار العامين التاليين، شارك NIST مجتمع الأمن الإلكتروني من خلال التحليل وورش العمل والتعليقات ومراجعة المسودات لتحسين المعايير القائمة وابتكار نموذج جديد يعكس التحديات الأمنية المتطورة.

بينما يظل جوهر CSF كما هو، هناك عدة إضافات بارزة في الإصدار الجديد. إليك ما تحتاج المؤسسات إلى معرفته حول الإطار الجديد، وكيف يؤثِّر في العمليات، وكيف يمكن لفِرق تكنولوجيا المعلومات تطبيق CSF الإصدار 2.0 بفاعلية في العمليات اليومية.

أول إضافة هي تقديم وظيفة "الحوكمة"، التي تشكِّل الأساس لجميع الوظائف الخمس في إطار NIST الأصلي: التحديد، والحماية، والكشف، والاستجابة، والتعافي. كما أشار توثيق CSF 1.0 الأصلي، "لا يُقصد من هذه الوظائف أن تشكِّل مسارًا متسلسلًا أو تؤدي إلى حالة نهائية ثابتة. بل يمكن تنفيذ الوظائف بشكل متزامن ومستمر لتشكيل ثقافة تشغيلية تعالج المخاطر الأمنية الديناميكية".

ونتيجةً لذلك، غالبًا ما يتم تصوير هذه الوظائف على شكل دائرة مكونة من خمسة أقسام تحيط بمركز إطار CST. كل وظيفة تؤدي إلى الوظيفة التالية، ولا توجد وظيفة مستقلة عن الأخرى.

يحافظ إطار NIST CSF 2.0 على هذه الوظائف مع إضافة "الحوكمة" كحلقة داخلية كاملة تقع تحت الوظائف الخمس الخارجية. تركِّز وظيفة "الحوكمة" على ضمان توافق الوظائف الأخرى مع احتياجات الأعمال، وأن تقوم فِرق العمليات بقياسها بانتظام، وأن يديرها التنفيذيون الأمنيون.

بعبارة أخرى، تهدف "الحوكمة" إلى إدخال القيادة في نقاشات الأمن. رغم أن هذا يحدث بالفعل في معظم الشركات، يجعل CSF 2.0 ذلك أولوية.

ركَّزت النسختان الأوليان من CSF على البنية التحتية الحيوية. بينما اعتمدت الصناعات والوكالات أخرى الإطار، فقد تم تصميمه في المقام الأول لتقليل تأثير الحوادث الإلكترونية على قطاع البنية التحتية الحيوية.

ومع ذلك، أوضح الانتشار الواسع للإطار أن الممارسات والعمليات تنطبق على المؤسسات العامة والخاصة في جميع القطاعات والصناعات. ونتيجةً لذلك، يقدِّم NIST CSF 2.0 أفضل الممارسات الموسَّعة التي يمكن تطبيقها على الشركات من جميع الأحجام والأنواع.

على سبيل المثال، يوصي الإصدار الجديد من CSF بأن تُنشئ جميع الشركات ملفات تعريف تنظيمية تَصِف الوضع الحالي والمستهدف للأمن الإلكتروني. وهذا يُتيح للشركات تحديد الأهداف والممارسات اللازمة لتحقيق هذه الأهداف. ويسلِّط إطار العمل الجديد الضوء أيضًا على دور ملفات التعريف المجتمعية. يتم إنشاء هذه الملفات لمعالجة الاهتمامات والأهداف المشتركة للأمن الإلكتروني بين عدة مؤسسات تنتمي إلى القطاع أو القطاع الفرعي نفسه، وتستخدم تقنيات مماثلة أو تواجه أنواع تهديد مشابهة.

بفضل التركيز على الحوكمة المحسَّنة وتوسيع نطاق أفضل الممارسات، يمكن لإطار NIST CSF الجديد مساعدة المؤسسات على تحسين الأمن وتقليل المخاطر. لتنفيذ إطار العمل هذا بفعالية، تستفيد المؤسسات من نهج رباعي.

يمكن أن يجعل التوسع في نطاق وحجم CSF 2.0 من الصعب على الشركات بمختلف أحجامها تنفيذ التوصيات الجديدة بشكل فعَّال. بالنسبة إلى الشركات الصغيرة، قد تؤثِّر محدودية دعم تكنولوجيا المعلومات على تطوير ممارسات جديدة، بينما قد تواجه المؤسسات الكبرى صعوبةً بسبب تعقيد بيئات تكنولوجيا المعلومات لديها.

للمساعدة على تبسيط العملية، يجب على الشركات الاستفادة من الموارد المتاحة على أفضل وجه، مثل:

• دليل البدء السريع لإطار CSF 2.0 لإنشاء الملفات التعريفية التنظيمية.
• أداة المرجع القابل للبحث في CSF 2.0.
• الكتالوج المرجعي الإعلامي NIST.
• أمثلة على تنفيذ CSF 2.0

الخطوة التالية هي إشراك القادة في العملية. رغم أن CSF 2.0 تم تصميمه مع مراعاة الحوكمة والإشراف، قد يكون لدى العديد من التنفيذيين غير التقنيين في مجلس الإدارة معرفة محدودة بالإطار وتأثيره. ونتيجةً لذلك، من الأفضل أن يجلس قادة تكنولوجيا المعلومات -مثل المديرين التقنيين (CTO) ومديري المعلومات (CIO) والمديرين التنفيذيين لأمن المعلومات (CISO)- وفِرقهم مع أعضاء مجلس الإدارة لمناقشة تأثير CSF 2.0. وهذه أيضًا فرصة لضمان توافق أهداف الأعمال والاستراتيجيات الأمنية.

بالإضافة إلى ذلك، توفِّر هذه الاجتماعات فرصة لتحديد المقاييس الأمنية الرئيسية، وتحديد كيفية جمعها ووضع جدول زمني مفصَّل لجمعها وإعداد التقارير واتِّخاذ الإجراءات اللازمة. ومن خلال إشراك القادة في النقاش منذ بداية تنفيذ CSF، تمهِّد الشركات الطريق لرؤية مستمرة ومستدامة.

كجزء من وظيفة الحوكمة الجديدة، يتضمن CSF 2.0 أقسام فرعية جديدة عن إدارة البائعين والمورِّدين. على سبيل المثال، يركِّز GV.SC-04 على معرفة المورِّدين وتصنيفهم حسب أهميتهم للعمليات، بينما يتناول GV.SC-06 التخطيط والعناية الواجبة المطلوبة قبل الدخول في علاقات مع أطراف ثالثة. وأخيرًا، يمكن للقسم الفرعي GV.SC-10 أن يساعد الشركات على التخطيط لإنهاء العلاقة بين المورِّدين أو الشركاء.

ونظرًا لتزايد مخاطر وتأثير الاختراق من قِبل أطراف ثالثة، تُعَد هذه التقييمات أمرًا حيويًا. إذا تم اختراق المورِّدين أو البائعين الذين لديهم وصول إلى بيانات الشركة الحساسة بسبب ممارسات إلكترونية ضعيفة، فإن المؤسسات تكون معرّضة للخطر، بغض النظر عن امتثالها لإطار CSF 2.0.

لدعم جميع الوظائف الخمس الحالية وتوفير البيانات اللازمة لتوجيه جهود الحوكمة الجديدة، تحتاج الشركات إلى أدوات إدارة ومراقبة قادرة على كشف التهديدات المحتملة، وتتبُّع مؤشرات الاختراق (IOC)، واتِّخاذ الإجراءات اللازمة لتقليل المخاطر الإجمالية.

على سبيل المثال، يمكن لأدوات استعلامات التهديدات أن تساعد المؤسسات على تحديد أنماط الهجوم والأهداف الشائعة، ما يزوِّد الفِرق بالبيانات اللازمة لإنشاء وتنفيذ إجراءات مضادة فعَّالة. تساعد هذه البيانات أيضًا على ربط الإنفاق الأمني بنتائج الأعمال الملموسة.

على الرغم من أن CSF 2.0 هو أحدث إصدار لإطار عمل الأمن الإلكتروني من NIST، فإنه لن يكون الإصدار الأخير. كما أشار NIST، تم تصميم إطار العمل ليكون وثيقة حية تتطور لتلبية احتياجات الأمن الإلكتروني الناشئة ومساعدة الشركات على التعامل مع بيئات التهديد المتغيرة.

عمليًا، يعني ذلك الانتقال من أفضل الممارسات إلى الممارسات الشائعة. على سبيل المثال، بينما قدمت النسختان 1.0 و1.1 أفضل الممارسات للبنية التحتية الحيوية، تتضمن النسخة 2.0 هذه الممارسات كممارسات شائعة لجميع المؤسسات مع تحديد أفضل ممارسة جديدة: الحوكمة. مع مرور الوقت، ستصبح هذه الممارسة شائعة، ما يمهِّد الطريق لتطورات إضافية تساعد المؤسسات على تعزيز اكتشاف التهديدات، وتحسين الاستجابة للحوادث، وتقليل المخاطر الإجمالية.