Het National Institute of Standards and Technology (NIST) heeft een conceptupdate van zijn cyberbeveiligingsraamwerk uitgebracht, waarin de cruciale rol van senior leiderschap bij het ontwikkelen en implementeren van een robuuste cyberbeveiligingsstrategie wordt benadrukt. Met deze verbeteringen verschuift het bijgewerkte concept Cybersecurity Framework (CSF) versie 2.0 van de oorspronkelijke focus op kritieke infrastructuur naar een breder scala aan organisaties. De definitieve versie van CSF 2.0 zal naar verwachting begin dit jaar worden gepubliceerd.
Dit artikel bespreekt de nieuwe veranderingen in het raamwerk, wat het betekent voor organisaties die het willen adopteren, en de voordelen van organisaties die raamwerken en standaarden adopteren om hun securitystrategie te versterken.
Wat is het NIST Cybersecurity Framework?
Het NIST Cybersecurity Framework is een vrijwillige reeks richtlijnen, standaarden en praktijken die zijn ontworpen met als doel organisaties te helpen cyberbeveiligingsrisico's te beheren en te verminderen. Het Framework kan door organisaties worden gebruikt om een zelfbeoordeling uit te voeren van hun cybersecurityrisico's, hiaten in hun cybersecuritypraktijken te identificeren en een actieplan op te stellen met een geprioriteerde lijst van verbeteringen. Het helpt organisaties niet alleen bij het beheren en verminderen van risico's, maar is ook ontworpen om de communicatie over risico- en cybersecuritybeheer tussen zowel interne als externe belanghebbenden in de organisatie te bevorderen.
Oorspronkelijk gericht op kritieke infrastructuursectoren, heeft het NIST Framework in de loop der jaren een grotere aantrekkingskracht gekregen, waarbij organisaties van verschillende groottes en sectoren het hebben overgenomen om hun securitypositie te verbeteren. De alomvattende en aanpasbare aard van het raamwerk maakt het tot een hulpmiddel van onschatbare waarde voor organisaties die hun cybersecuritypraktijken willen versterken en risico's willen minimaliseren.
Het Cybersecurity Framework (CSF), dat voor het eerst werd gepubliceerd in februari 2014, fungeert als een levend document en biedt organisaties richtlijnen voor het begrijpen, beheren, beperken en overbrengen van cybersecurityrisico's. NIST heeft het CSF ontwikkeld als reactie op de Presidential Executive Order (EO) 13636 uit 2013 , getiteld "Improving Critical Infrastructure Cybersecurity." Het raamwerk onderging in 2018 een update met de release van versie 1.1, waarin uitgebreide input van de particuliere sector werd verwerkt. De nieuwste officiële editie van het CSF weerspiegelt de voortdurende ontwikkeling van richtlijnen voor het aanpakken van organisatorische cybersecurityrisico’s.
Nieuwe toevoegingen aan het NIST Framework
De belangrijkste verandering in het raamwerk is de introductie van een nieuwe bestuursfunctie. Naast de vijf bestaande functies van het document – Identificeren, Beschermen, Detecteren, Reageren en Herstellen – legt Besturen (‘Govern’) nu de nadruk op de rol die leiders van organisaties spelen bij het vaststellen en monitoren van de cybersecurityrisicobeheerstrategie, -verwachtingen en -beleid van de organisatie. Het omvat de volgende categorieën:
- Organisatorische context
de omstandigheden – missie, verwachtingen van belanghebbenden en wettelijke, regelgevende en contractuele vereisten – rond de beslissingen van de organisatie op het gebied van cyberbeveiligingsrisicobeheer worden begrepen. - Risicobeheerstrategie
de prioriteiten, beperkingen, risicotolerantie- en bereidheidsverklaringen en aannames van de organisatie worden vastgesteld, gecommuniceerd en gebruikt om beslissingen over operationele risico's te ondersteunen. - Risicobeheer van de cybersecuritytoeleveringsketen
deze processen worden geïdentificeerd, vastgesteld, beheerd, gemonitord en verbeterd door belanghebbenden in de organisatie. - Rollen, verantwoordelijkheden en bevoegdheden
rollen, verantwoordelijkheden en bevoegdheden op het gebied van cybersecurity ter bevordering van de verantwoordelijkheid, prestatiebeoordeling en voortdurende verbetering worden vastgesteld en gecommuniceerd. - Beleid, processen en procedures
cybersecuritybeleid, -processen en -procedures van de organisatie worden vastgesteld, gecommuniceerd en gehandhaafd. - Toezicht
de resultaten van organisatiebrede activiteiten en prestaties op het gebied van cybersecurityrisicobeheer worden gebruikt om de risicobeheerstrategie te informeren, te verbeteren en aan te passen.
Naast het benadrukken van de rol van senior leiderschap, breidt de update de reikwijdte van het raamwerk uit tot buiten kritieke infrastructuurentiteiten zoals ziekenhuizen of banksystemen, waardoor het toepasbaar wordt op organisaties van elk type of elke omvang. Als weerspiegeling van deze uitgebreide reikwijdte is de naam gewijzigd in 'The Cybersecurity Framework', ter vervanging van de vorige titel 'Framework for Improving Critical Infrastructure Cybersecurity'.
De updates brengen het NIST Framework dichter bij de normen die zijn vastgelegd in ISO 27001. Dit zal het voor organisaties die al ISO 27001-geaccrediteerd zijn gemakkelijker maken om het NIST Framework te adopteren, en vice versa. Net als de titelwijziging zou deze stap voor een breder scala aan organisaties een aansporing kunnen zijn om het CSF 2.0 over te nemen.
Het kiezen van het juiste raamwerk
Als je overweegt een standaard of raamwerk voor cybersecurity te adopteren, bedenk dan eerst welk raamwerk passend en toepasbaar is voor jouw organisatie. De keuze van het raamwerk hangt af van factoren zoals de organisatiecultuur, bekendheid met andere raamwerken of standaarden, wettelijke vereisten en locatie.
Federale overheidsinstanties kunnen bijvoorbeeld wettelijk verplicht zijn om het NIST Framework te gebruiken om cybersecuritysrisico's te plannen en te beperken. Op dezelfde manier verplicht het Amerikaanse ministerie van Defensie dat contractanten die Covered Defense Information verwerken, zich houden aan de beveiligingsvereisten die zijn uiteengezet in NIST Special Publication (SP) 800-171, een verzameling securitycontroles die complementair zijn aan de CSF. Bijgevolg wordt aansluiting bij NIST-publicaties zoals de CSF steeds belangrijker voor bedrijven die bieden op contracten met federale overheidsinstanties. Om deze reden kunnen organisaties met sterke Amerikaanse banden het CSF 2.0 het meest geschikte raamwerk vinden.
Aan de andere kant van de Noordzee wordt het Cyber Essentials-programma van het Britse NCSC aanbevolen voor organisaties van elke omvang die proberen een basis te leggen voor hun cyberbeveiligingspraktijken. Alle bedrijven die bieden op contracten van de centrale overheid waarbij gevoelige en persoonlijke informatie moet worden verwerkt of die bepaalde technische producten en diensten moeten leveren, hebben een Cyber Essentials-certificering nodig.
Is ISO een betere keuze?
Organisaties die een ISO 27001-certificering willen ontvangen, moeten een informatiebeveiligingsbeheersysteem (ISMS) implementeren dat voldoet aan de ISO 27001-normen, dat vervolgens onafhankelijk wordt gecontroleerd door een geaccrediteerde derde partij. Wat de praktische richtlijnen voor het verbeteren van informatiebeveiliging en cyberbeveiligingsstandaarden betreft, zijn er veel parallellen tussen ISO 27001 en vrijwillige raamwerken zoals NIST en Cyber Essentials. Er zijn echter een aantal redenen waarom organisaties er de voorkeur aan geven om naleving van ISO 27001 aan te tonen:
- Een rigoureuze beoordeling door geaccrediteerde derde partijen garandeert een hoog niveau van informatiebeveiligingsbeheer bij de uitkomst.
- Veel organisaties stellen eisen dat leveranciers en partners ISO-gecertificeerd zijn.
- De internationale erkenning van ISO-normen maakt ze breder toepasbaar.
Als uw organisatie al over de ISO 9001-certificering beschikt, vindt u het wellicht eenvoudiger om ISO 27001 of ISO 27701 toe te voegen voor doeleinden van privacy-compliance.
Afhankelijk van de beschikbare tijd en middelen willen sommige organisaties mogelijk een vrijwillig beveiligingsraamwerk gebruiken om hun basisveiligheidsnormen te verbeteren, en later kiezen voor een ISO-certificering. Andere organisaties die al werken aan naleving van ISO 27001 zullen het in de toekomst wellicht gemakkelijker vinden om bijvoorbeeld Cyber Essentials of NIST te adopteren, mocht dit nodig zijn bij het bieden op overheidscontracten.
Organisaties kunnen er ook voor kiezen om ISO 27001 te implementeren, maar deze niet onafhankelijk te laten certificeren, totdat de noodzaak zich voordoet. Hoewel vrijwillige raamwerken en ISO-normen kunnen worden gebruikt als een intern hulpmiddel om de informatiebeveiligingsnormen te verbeteren, zijn ze uiteindelijk waardevoller voor een organisatie zodra ze zijn geverifieerd, en kunnen ze dus door de organisatie worden gebruikt om hun informatiebeveiligingsnormen publiekelijk te demonstreren.
Ongeacht het gekozen raamwerk is het belangrijkste voordeel van adoptie het opstellen van een duidelijke routekaart voor het methodisch implementeren van beveiligingscontroles en -processen die uw beveiligingshouding zullen versterken.
In plaats van een fragmentarische of onsamenhangende aanpak bij het implementeren van nieuwe securitymaatregelen, bieden raamwerken organisaties duidelijke richtlijnen over hoe ze prioriteit kunnen geven aan verbeteringen op het gebied van cybersecurity, hoe ze geïnformeerde besluitvorming kunnen ondersteunen en hoe ze de steun van het leiderschap van de organisatie kunnen garanderen. Door normen vast te stellen voor waar uw organisatie zich momenteel bevindt, bieden de raamwerken bovendien duidelijke, praktische stappen voor verbetering, waardoor de algehele securitypositie van uw organisatie in de loop van de tijd wordt verbeterd.
Wil je meer informatie over het bereiken en behouden van compliance op het gebied van beveiliging, en hoe je de beveiligingspositie en cyberweerbaarheid van uw organisatie kunt verbeteren? Bel ons via 088-6546500 of vul onderstaand contactformulier in.