Wat is het NIST Cybersecurity Framework? De ultieme gids

Het National Institute of Standards and Technology (NIST) biedt richtlijnen en best practices die organisaties kunnen volgen om bedrijven, non-profits en andere instellingen in de private sector te helpen hun beheer van cybersecurityrisico's te verbeteren. NIST maakt deel uit van het Amerikaanse ministerie van Handel en is een van de oudste natuurwetenschappelijke laboratoria van het land. 

In 2013 vaardigde de president Executive Order 13636 uit, waarin stond:

“Het is het beleid van de Verenigde Staten om de beveiliging en veerkracht van de kritieke infrastructuur van het land te versterken en een cyberomgeving in stand te houden die efficiëntie, innovatie en economische welvaart bevordert, en tegelijkertijd veiligheid, beveiliging, vertrouwelijkheid van bedrijfsgegevens, privacy en burgerlijke vrijheden stimuleert."

Dit presidentiële besluit stelde bepaalde vereisten vast die NIST toepaste op zijn cybersecurityframework, waaronder:

• Beveiligingsnormen en richtlijnen identificeren die van toepassing zijn op sectoren van kritieke infrastructuur.

• Een geprioriteerde, flexibele, herhaalbare, prestatiegerichte en kosteneffectieve aanpak bieden.

• Eigenaren en beheerders van kritieke infrastructuur helpen cyberrisico's te identificeren, beoordelen en beheren.

• Technische innovatie mogelijk maken en rekening houden met organisatorische verschillen.

• Technologieneutrale richtlijnen bieden waarmee sectoren van kritieke infrastructuur kunnen profiteren van een concurrerende markt voor producten en diensten.

• Richtlijnen opnemen voor het meten van de prestaties bij de implementatie van het Cybersecurity Framework.

• Verbeterpunten identificeren die moeten worden aangepakt via toekomstige samenwerking met specifieke sectoren en organisaties die normen ontwikkelen.

Waarom is dit zo belangrijk geworden? 

Simpel gezegd hebben toenemende cybersecuritydreigingen dagelijks invloed op bedrijven en andere organisaties. Zonder één betrouwbare bron zou het voor bedrijven vrijwel onmogelijk zijn om een grondig en effectief framework te ontwikkelen dat hen helpt effectieve maatregelen te nemen om beveiligingsrisico's te beperken. Daarom is het NIST Cybersecurity Framework zo cruciaal geworden voor bedrijven: het stimuleert efficiënte, innovatieve en veerkrachtige oplossingen om de beveiliging te waarborgen.

In wezen helpt het NIST Cybersecurity Framework organisaties van alle soorten om cybersecurityrisico's beter te begrijpen, beheren en verminderen. Het eindresultaat van het volgen van deze richtlijnen is een betere bescherming van netwerken en gegevens. Het NIST Cybersecurity Framework is zo opgebouwd dat elk bedrijf of elke organisatie het kan implementeren om beter te begrijpen waar tijd en middelen op moeten worden gericht voor betere cybersecuritybescherming. Het draait erom bedrijven in staat te stellen hun gegevens, de gegevens van hun klanten, hun netwerken en hun medewerkers effectiever te beschermen.

Hoewel het NIST Cybersecurity Framework is ontwikkeld door een organisatie in de Verenigde Staten, is het gemaakt met het oog op wereldwijde invoering. Daarom is het in veel talen vertaald en overgenomen door overheden, bedrijven en organisaties over de hele wereld.

Sinds versie 1.1 van het NIST Cybersecurity Framework hebben veel organisaties en overheden het framework met succes ingevoerd, waaronder:

• Saudi Aramco

• Regering van Bermuda

• Israel National Cyber Directorate

• Cimpress-FAIR

• Multi-State - Information Sharing and Analysis Center

• University of Kansas Medical Center

• University of Pittsburgh

• ISACA

• Japanese Cross-Sector Forum

• University of Chicago

• Lower Colorado River Authority

• Optic Cyber Solutions   

De nieuwste versie van het NIST Cybersecurity Framework (CSF) is bedoeld voor doelgroepen, sectoren en organisaties van alle soorten en maten; van kleine scholen en non-profitorganisaties tot grote ondernemingen. Het framework is zo ontworpen dat elke organisatie, ongeacht haar niveau van cybersecurity-volwassenheid, voordeel kan halen uit de informatie die het biedt.

Volgens Laurie E. Locascio, directeur van NIST en onderminister van Handel voor standaarden en technologie: 

“Het CSF is voor veel organisaties een essentieel hulpmiddel geweest om cybersecuritydreigingen te anticiperen en aan te pakken… CSF 2.0, dat voortbouwt op eerdere versies, draait niet slechts om één document. Het gaat om een pakket aan bronnen dat kan worden aangepast en in de loop van de tijd afzonderlijk of in combinatie kan worden gebruikt naarmate de cybersecuritybehoeften van een organisatie veranderen en haar capaciteiten zich ontwikkelen.” 

De nieuwste ontwikkeling van het NIST Cybersecurity Framework gaat bovendien verder dan de focus op kritieke infrastructuur en omvat alle organisaties (van elke omvang) in elke sector.

Bij de ontwikkeling van het NIST Cybersecurity Framework was het doel om belanghebbenden bij overheid, bedrijfsleven en academische wereld blijvend te betrekken. Om dit framework te creëren, maakte NIST gebruik van outreach en workshops in het hele land, evenals een Request For Information (RFI) en een Request For Comment (RFC). Hun oorspronkelijke doel was drieledig:

• Bestaande cybersecuritystandaarden, richtlijnen, frameworks en best practices identificeren.

• Hiaten met hoge prioriteit specificeren.

• Actieplannen ontwikkelen om die hiaten aan te pakken.

De commentaarperiode voor het verzamelen van informatie eindigde op 8 april 2013, en NIST ontving meer dan 270 reacties op de Request For Information. Op basis van die reacties stelde NIST de agenda op voor hun eerste workshop over het Cybersecurity Framework, die plaatsvond in Washington DC met als doel interesse te wekken, bewustzijn te vergroten en inzicht te geven in het gezamenlijke ontwikkelproces. De onderwerpen van de workshop omvatten het Executive Order, de ontwikkeldoelen en de bevestiging van het proces dat zou worden gebruikt om het framework te ontwikkelen.

De tweede workshop vond plaats van 29 tot en met 31 mei 2013 en werd gehouden aan Carnegie Mellon University, met een agenda die was gebaseerd op de analyse van de eerste RFI. De doelen waren om de ontvangen informatie verder te definiëren en te verduidelijken, en debat te stimuleren over verschillende beveiligingsgerelateerde onderwerpen. Na afloop van deze workshop analyseerde NIST de verzamelde informatie en stelde samenvattingen op die met de sectoren werden gedeeld en werden gebruikt om het eerste concept van het Cybersecurity Framework te maken.

Het eerste concept van het NIST Cybersecurity Framework werd uitgebracht op 2 juli 2013.

Na de publicatie organiseerde NIST verschillende workshops, gericht op het bespreken en verfijnen van de eerste versie. Op 12 februari 2014 werd versie 1.0 van het NIST Cybersecurity Framework uitgebracht.

Het NIST Cybersecurity Framework bestaat uit verschillende kernfuncties, die een algemeen overzicht geven van best practices. Deze functies zijn niet bedoeld als procedurele stappen, maar om de dynamische aard van cybersecurityrisico’s aan te pakken.

Besturen

Deze functie biedt resultaten die inzicht geven in wat een organisatie kan doen om de overige functies te prioriteren binnen de context van haar missie en de verwachtingen van belanghebbenden.

Identificeren

De identificatiefunctie benadrukt de noodzaak om binnen de organisatie inzicht te ontwikkelen in cybersecurityrisico’s voor systemen, bedrijfsmiddelen, gegevens en capaciteiten. Dit onderdeel richt zich op de bedrijfsvoering, zodat de organisatie haar inspanningen kan prioriteren op een manier die aansluit bij haar risicobeheerstrategie.

Beschermen

Deze functie ondersteunt het vermogen van een organisatie om bedrijfsmiddelen te beveiligen en de kans op, en de impact van, een cybersecuritygebeurtenis te voorkomen of te verkleinen.

Detecteren

Deze functie maakt het mogelijk om afwijkingen, indicatoren van compromittering en andere ongewenste gebeurtenissen die erop wijzen dat een cybersecuritygebeurtenis heeft plaatsgevonden of zal plaatsvinden, tijdig te ontdekken en te analyseren.

Reageren

Deze functie helpt de gevolgen van een cybersecurity-incident te beperken en omvat incidentbeheer, analyse, mitigatie, rapportage en communicatie.

Herstellen

Deze functie richt zich op het tijdig herstellen van de normale bedrijfsvoering, om de gevolgen van een cybersecurity-incident te verminderen en de noodzakelijke (en passende) communicatie tijdens het herstel mogelijk te maken.

Het uiteindelijke doel van deze functies is om een strategisch overzicht op hoog niveau te bieden van hoe een organisatie zich voorbereidt op, reageert op en herstelt van cybersecurity-incidenten.

Nu je goed begrijpt wat het NIST Cybersecurity Framework doet en hoe het zich heeft ontwikkeld, vraag je je waarschijnlijk af hoe je het het beste kunt implementeren. 

NIST raadt een 7-stappenaanpak voor implementatie aan, die er als volgt uitziet:

1. Prioriteren en afbakenen - Prioriteer de doelstellingen en assets van je organisatie die moeten worden beschermd.

2. Oriënteren - Maak jezelf en je team vertrouwd met de processen, systemen en onderdelen binnen de scope, evenals met de belangrijkste compliancevoorschriften waaraan ze moeten voldoen.

3. Een huidig profiel opstellen - Geef aan welke uitkomsten van beheersmaatregelen uit het framework al binnen je organisatie worden behaald en maak vervolgens een lijst van wat nog moet worden geïntegreerd.

4. Een risicobeoordeling uitvoeren - Analyseer je operationele omgeving om te bepalen hoe waarschijnlijk cybersecurity-incidenten zijn en welke impact ze kunnen hebben.

5. Een doelprofiel opstellen - Richt je op de beoordeling van de categorieën en subcategorieën van het Cybersecurity Framework om je gewenste cybersecurity-uitkomsten te beschrijven.

6. Hiaten vaststellen, analyseren en prioriteren - Stel vast welke cybersecurity-hiaten er binnen je organisatie bestaan. Op basis van deze analyse kun je vervolgens een geprioriteerd plan opstellen om die behoeften aan te pakken.

7. Je actieplan implementeren - Kom in actie en implementeer het plan dat je hebt opgesteld om alle problemen aan te pakken die in de vorige stappen zijn ontdekt.

Een belangrijk punt om in gedachten te houden is dat het framework niet star is. Het framework biedt juist genoeg flexibiliteit om te integreren met je bestaande beveiligingsprocessen. Je zou moeten zien hoe dat werkt binnen de zeven hierboven genoemde stappen.

Doordat NIST de zeven stappen voor de implementatie van het framework zo duidelijk uiteenzet, krijgen organisaties een uitgebreid overzicht van de risico’s waaraan ze zijn blootgesteld, hoe ze op basis van die risico’s kunnen plannen, hoe ze de communicatie in de hele organisatie kunnen verbeteren en compliance kunnen versterken. Inzicht in de zwakke punten van een organisatie en hoe die kunnen worden beperkt, is een van de belangrijkste voordelen van het NIST Framework.

Volgens de Federal Trade Commission, helpt het NIST Framework “bedrijven van elke omvang om hun cybersecurityrisico beter te begrijpen, te beheren en te verminderen en hun netwerken en gegevens te beschermen.”

NIST begrijpt dat elke organisatie anders is en biedt zelfs 3 tips om je wachtwoorden veilig te houden (die als universeel moeten worden beschouwd).

Het NIST Cybersecurity Framework kan complex zijn. Het is belangrijk om de kernfuncties volledig te begrijpen voordat je verdergaat met de zeven hierboven genoemde stappen. Om blijvend succes te garanderen, is het cruciaal om een cybersecuritycultuur binnen je organisatie te stimuleren; anders zul je weerstand ondervinden tegen wat een ingrijpende verandering in processen en systemen kan zijn.

Andere uitdagingen zijn onder meer:

• Beperkte middelen - mogelijk heb je momenteel niet het personeel dat in staat is deze veranderingen te implementeren.

• Je zult waarschijnlijk tijd moeten besteden aan het aanpassen van het Cybersecurity Framework zodat het beter bij je organisatie past.

• Dreigingen ontwikkelen zich voortdurend, wat betekent dat je beveiligingspraktijken moeten blijven meegroeien.

• Je wilt het Cybersecurity Framework integreren met alle bestaande processen die je al hebt ingericht.

• Het kan lastig zijn om betrokkenheid van stakeholders te stimuleren, wat direct samenhangt met het bevorderen van een cybersecuritycultuur die aan deze eisen kan voldoen.

Er zijn vier NIST-implementatieniveaus:

• Niveau 1Gedeeltelijk - Bedrijven met beveiligingsprocedures op aanvraag of helemaal geen beveiligingsprocedures.

• Niveau 2Risicobewust - Bedrijven die zich bewust zijn van de bedreigingen waarmee ze te maken hebben en enkele beleidsregels hebben, maar geen gecoördineerde strategie.

• Niveau 3Herhaalbaar - Bedrijven met best practices voor risicobeheer en cybersecurity die door het management zijn goedgekeurd. Deze bedrijven meten zich vaak met concurrenten en werken zelfs samen met andere organisaties om ervoor te zorgen dat hun praktijken op elkaar zijn afgestemd.

• Niveau 4Adaptief - Bedrijven in sterk gereguleerde sectoren (zoals bankwezen en gezondheidszorg) die regelmatig bijdragen aan een breed risicobewustzijn.

Volgens NIST is het Cybersecurity Framework-profiel "de afstemming van de functies, categorieën en subcategorieën op de zakelijke vereisten, risicotolerantie en middelen van de organisatie." Deze profielen helpen organisaties een routekaart op te stellen om cybersecurityrisico's te verminderen. 

NIST biedt een aanpasbaar Cybersecurity Framework-sjabloon voor organisatieprofielen, evenals een lijst met communityprofielen die kunnen worden gebruikt.

Houd er rekening mee dat het NIST Cybersecurity Framework is ontworpen als een levend document dat afhankelijk is van regelmatige updates die het voortdurend veranderende landschap van cybersecurity en opkomende bedreigingen weerspiegelen. Daarom is het cruciaal dat organisaties op de hoogte blijven van de nieuwste bedreigingen, zodat het Cybersecurity Framework kan meegroeien met de huidige behoeften en continu kan verbeteren. 

Om ervoor te zorgen dat je organisatie kan meegroeien met het NIST Cybersecurity Framework, kun je overwegen hoe je de beste cybersecurity-techstack voor je bedrijf opbouwt, zodat je de beste technologie kunt benutten die met het Cybersecurity Framework kan meegroeien.

Het spreekt voor zich dat beveiliging een van de allerbelangrijkste aandachtspunten voor organisaties is geworden. Zonder robuuste praktijken voor cybersecurityrisicobeheer kunnen bedrijven het slachtoffer worden van allerlei bedreigingen. Met behulp van het NIST Cybersecurity Framework, samen met zorgvuldige planning en communicatie, kan de beveiliging van je organisatie sterk verbeteren. Pak het NIST Cybersecurity Framework grondig aan, volg de 7 stappen en wees altijd bereid om te updaten en mee te groeien, zodat je organisatie beter beschermd is tegen cybersecurityrisico's.

Klaar om vandaag aan de slag te gaan? Overweeg een oplossing voor wachtwoordbeheer om je organisatie een goede start te geven. Bekijk Bitwarden Business-abonnementen, neem contact op met sales en vergelijk abonnementsprijzen.