Uitbreiding van beste practices voor cyberbeveiliging: NIST kondigt nieuwe governance-pijler aan voor het Cybersecurity Framework

Naarmate cyberbeveiligingsdreigingen zich blijven ontwikkelen in een digitale omgeving, worstelen organisaties met de uitdaging om robuuste beveiligingsmaatregelen te implementeren ter bescherming van hun gevoelige gegevens en die van hun klanten. Het National Institute of Standards and Technology (NIST) heeft deze groeiende zorg onderkend en onlangs een nieuwe pijler aangekondigd in zijn cybersecurity framework, toepasselijk getiteld “Govern”.

Het NIST Cybersecurity Framework (NIST CSF) biedt een beleidskader voor computerbeveiliging voor organisaties in de private sector om hun vermogen te beoordelen en te verbeteren om cyberaanvallen te voorkomen, te detecteren en erop te reageren. Het is een vrijwillig framework dat bestaat uit normen, richtlijnen en beste practices om risico’s op het gebied van cyberbeveiliging te beheren. Traditioneel is het NIST Framework opgebouwd rond vijf kernfuncties: Identificeren, Beschermen, Detecteren, Reageren en Herstellen. Met de toevoeging van de nieuwe Govern-functie wil NIST deze principes verder versterken en meer nadruk leggen op governance binnen cyberbeveiliging.

Het belang van de Govern-pijler begrijpen

De introductie van de Govern-pijler in het NIST Cybersecurity Framework markeert een belangrijke stap in de ontwikkeling van uitgebreide cyberbeveiligings-beste practices. Het benadrukt het belang van governance binnen het vakgebied van cyberbeveiliging en onderstreept de noodzaak van een verschuiving van technologiegerichte oplossingen naar een geïntegreerde aanpak, waarbij cyberbeveiliging wordt gezien als een integraal onderdeel van het organisatiebeheer.

De Govern-pijler helpt organisaties bij het opstellen en implementeren van cyberbeveiligingsbeleid, procedures en processen die zijn afgestemd op hun bedrijfsdoelstellingen en risicotolerantie. Het legt de nadruk op het identificeren en prioriteren van cyberbeveiligingsrisico’s, het nemen van passende maatregelen om deze risico’s te beheren en het opzetten van een continu proces voor het monitoren en beoordelen van de effectiviteit van cyberbeveiliging.

De impact van de Govern-pijler op bedrijven

Met de opname van de Govern-functie werpt het NIST-framework licht op het belang van governance op het gebied van cyberbeveiliging binnen bedrijfsvoering. De governance-functie kan, mits goed toegepast, organisaties helpen bij het ontwikkelen van een uitgebreide en effectieve aanpak van cybersecurity management. Door cyberbeveiliging te integreren in het algemene governancebeleid, kunnen bedrijven zorgen voor een heldere en consistente aanpak van het beheer van cyberrisico’s, waardoor hun weerbaarheid tegen cyberdreigingen verbetert. De nieuwe Govern-functie kan daardoor leiden tot meer vertrouwen bij stakeholders, versterkte geloofwaardigheid in de markt en betere bescherming van kritieke bedrijfsactiva en data, waarmee de rol van cyberbeveiliging in het creëren van een robuuste zakelijke omgeving verder wordt versterkt.

Door duidelijke en robuuste governance-structuren te implementeren die de uitvoering van cyberbeveiligingsmaatregelen sturen, kunnen organisaties ervoor zorgen dat beveiligingspraktijken aansluiten bij bedrijfsdoelstellingen en voldoen aan relevante wettelijke en regelgevende vereisten. Dit kan resulteren in verbeterde gegevensbescherming en, bij uitbreiding, groter klantvertrouwen, wat uiteindelijk kan leiden tot betere bedrijfsresultaten.

Uiteindelijk betekent de toevoeging van Govern aan het NIST Cybersecurity Framework een verschuiving naar een meer holistische en geïntegreerde benadering van cyberbeveiliging. Het legt niet alleen de nadruk op technologische verdediging tegen cyberdreigingen, maar ook op de afstemming van cyberbeveiligingsstrategieën met bedrijfsdoelstellingen en risicobeheer. Dit kan een proactieve cyberbeveiligingscultuur binnen de organisatie bevorderen, wat essentieel is in het huidige complexe en veranderende digitale landschap.

“Govern” als hulpmiddel voor verbeterde cyberbeveiliging

De Govern-functie van het NIST Cybersecurity Framework dient als een cruciaal hulpmiddel voor bedrijven om hun beveiligingsstatus te versterken. Met een sterke focus op governance kunnen bedrijven ervoor zorgen dat cyberbeveiligingsmaatregelen niet alleen tactisch worden geïmplementeerd, maar ook strategisch zijn afgestemd op de bredere bedrijfsdoelstellingen.

Door cyberbeveiligingsrollen en -verantwoordelijkheden te definiëren, duidelijke doelstellingen te stellen en te voorzien in continue monitoring en beoordeling van cyberbeveiligingsrisico’s, stelt de Govern-pijler organisaties in staat om cyberbeveiliging te integreren in hun governance-structuren. Dit leidt tot een meer georganiseerde en strategische aanpak van het beheer van cyberdreigingen, waardoor de algehele bedrijfsweerbaarheid wordt vergroot in het licht van steeds veranderende cyberbedreigingen. 

Het belang van privacyoverwegingen in de Govern-functie

Met toenemende zorgen over gegevensprivacy is het voor bedrijven essentieel om de gevoelige data die zij beheren te beschermen. De Govern-functie speelt hierop in door het belang te benadrukken van het integreren van privacyoverwegingen in cyberbeveiligingspraktijken. In lijn met deze nadruk moedigt ‘Govern’ bedrijven aan om maatregelen te nemen die niet alleen beschermen tegen cyberdreigingen, maar ook de privacy van klant- en bedrijfsgegevens waarborgen. Dit omvat het definiëren van privacygerichte doelstellingen, het ontwikkelen van beleid voor gegevensgebruik en privacy, en het continu monitoren van de effectiviteit van deze privacymaatregelen. Door privacyoverwegingen te integreren, versterkt de Govern-pijler het algehele cyberbeveiligingsframework en wordt het een allesomvattend instrument voor gegevensbescherming in een steeds digitaler wordende wereld.

De pijler pleit voor het opzetten van een privacy risicobeheerprogramma als onderdeel van het bredere cyberbeveiligingsmanagementplan van een organisatie. Dit omvat het uitvoeren van privacy-risicobeoordelingen om potentiële gevolgen voor gegevensprivacy te identificeren en het implementeren van noodzakelijke maatregelen om deze risico’s aan te pakken. Met de nadruk op privacyoverwegingen onderstreept de Govern-functie het belang van dit aspect bij het behouden van een robuuste beveiligingsstatus. De Govern-functie fungeert daarom als een allesomvattende leidraad voor organisaties om zowel cyberbeveiliging als gegevensprivacy te beheren, waarmee de onderlinge afhankelijkheid van deze twee gebieden in het digitale ecosysteem wordt benadrukt. Het herinnert organisaties eraan dat effectieve cyberbeveiliging niet alleen draait om technische verdediging, maar ook om een strikte governance-structuur die aansluit bij de bedrijfsdoelstellingen en in staat is gevoelige informatie te beschermen.

Door een proactieve benadering van het beheer van cyberbeveiligings- en privacyrisico’s te stimuleren, ondersteunt Govern het overkoepelende doel van het NIST Framework – het vergroten van de beveiliging en veerkracht van de kritieke infrastructuur van het land.

NIST’s Govern-pijler: de toekomst van cyberbeveiliging vormgeven

De Govern-functie van NIST betekent een ingrijpende verandering binnen het domein van cyberbeveiliging. Met de focus op governance moedigt de nieuwe pijler bedrijven aan om een strategische denkwijze te hanteren, waarbij risicobeheer op het gebied van cyberbeveiliging wordt gezien als een essentieel onderdeel van de kernactiviteiten. Dit betekent een breuk met de traditionele benadering, waarbij cyberbeveiliging vaak wordt gezien als een losstaande entiteit, gescheiden van de centrale bedrijfsfuncties. De Govern-functie bevordert een betere organisatorische afstemming, waardoor beveiligingsbeslissingen niet alleen technisch verantwoord zijn, maar ook aansluiten bij de bedrijfsdoelstellingen en risicotolerantie.

Met name opvallend is dat de nieuwe pijler van het NIST CSF een broodnodige convergentie van cyberbeveiliging en risicobeheer benadrukt, die vaak gescheiden opereren. Door deze twee elementen op elkaar af te stemmen, krijgen bedrijven een veel duidelijker beeld van hun risicolandschap, waardoor zij beter onderbouwde beslissingen kunnen nemen. Het uiteindelijke doel is niet alleen reageren op dreigingen, maar deze proactief begrijpen en beheren, wat de manier waarop bedrijven cyberbeveiliging benaderen ingrijpend kan veranderen.

De Govern-functie: effectieve risicobeheersing van cyberbeveiliging mogelijk maken

De Govern-pijler is ontworpen om bedrijven te ondersteunen bij het effectief beheren van cyberbeveiligingsrisico’s. Er wordt sterk de nadruk gelegd op proactieve risico-identificatie, grondige risicobeoordeling en passende risicobeperking, waardoor bedrijven een uitgebreide strategie voor risicobeheer op het gebied van cyberbeveiliging kunnen opbouwen. Dit stelt bedrijven in staat zich beter voor te bereiden op potentiële dreigingen, effectief te reageren wanneer aanvallen plaatsvinden en daarna snel te herstellen. De functie helpt bedrijven bij het vaststellen van duidelijke cyberbeveiligingsdoelstellingen, rollen en verantwoordelijkheden, zodat iedereen zijn of haar rol in het risicobeheerproces begrijpt.

Bovendien stimuleert de nieuwe pijler het consequent beoordelen en monitoren van cyberbeveiligingsrisico’s, zodat bedrijven op de hoogte blijven van het dynamische dreigingslandschap. Hierdoor kunnen bedrijven snel inspelen op nieuwe dreigingen en hun bedrijfsweerbaarheid vergroten. Door deze elementen te integreren in hun bedrijfsvoering, kunnen organisaties ervoor zorgen dat cyberbeveiliging consequent is afgestemd op hun bedrijfsdoelstellingen, waardoor de kans op serieuze risico-exposure wordt verkleind.

Integratie van privacyoverwegingen in de Govern-functie

Nu datalekken en privacyzorgen de krantenkoppen domineren en het consumentenvertrouwen ondermijnen, moeten bedrijven proactiever dan ooit gevoelige gegevens beschermen. De Govern-functie speelt hierop in door privacyoverwegingen te integreren in het framework. Dit stimuleert bedrijven om privacyrisico’s te identificeren en te beheren als onderdeel van hun bredere cyberbeveiligingsstrategie. Door te pleiten voor het opzetten van een privacy risicobeheerprogramma, benadrukt de Govern-functie de noodzaak voor bedrijven om privacy-risicobeoordelingen uit te voeren en passende maatregelen te nemen om gevoelige data te beschermen.

Het belang van privacyoverwegingen binnen de Govern-functie kan niet genoeg worden benadrukt. In het huidige digitale tijdperk lopen bedrijven die privacyoverwegingen niet integreren in hun cyberbeveiligingspraktijken het risico hun reputatie te schaden, boetes te krijgen en klantvertrouwen te verliezen. Door privacyrisico’s actief te beheren, kunnen bedrijven niet alleen hun beveiligingsstatus verbeteren, maar ook sterkere klantrelaties opbouwen.

Kiteworks helpt organisaties hun gevoelige content te beschermen volgens het NIST CSF

De nieuwe Govern-pijler van NIST betekent een belangrijke vooruitgang op het gebied van cyberbeveiliging. Door de groeiende behoefte aan robuust cyberbeveiligingsbeheer te erkennen, stimuleert de Govern-functie bedrijven om cyberbeveiliging te zien als een integraal onderdeel van hun kernactiviteiten. Door cyberbeveiliging te verweven in het bedrijfsbeheer, kunnen organisaties hun beveiligingsstatus versterken, risico’s effectiever beheren en hun bedrijfsweerbaarheid vergroten.

Bovendien onderstreept de nadruk op privacyoverwegingen de kritieke noodzaak voor bedrijven om gevoelige data te beschermen. Door bedrijven in staat te stellen cyberbeveiligings- en privacyrisico’s op een gecoördineerde en proactieve manier te beheren, biedt de Govern-functie een strategische en allesomvattende aanpak om zich te beschermen tegen steeds veranderende cyberdreigingen. Uiteindelijk zorgt de integratie van deze nieuwe pijler in het bestaande NIST-framework voor een meer holistische benadering van cyberbeveiliging, die waarschijnlijk de toekomst van cyberbeveiligings-beste practices zal bepalen.

Het Kiteworks Private Content Network, een FIPS 140-2 Level 1 gevalideerd platform voor beveiligd delen van bestanden en bestandsoverdracht, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP en beheerde bestandsoverdracht, zodat organisaties elk bestand kunnen controleren, beschermen en volgen zodra het de organisatie binnenkomt of verlaat.  

Kiteworks stelt organisaties in staat om alle gevoelige bestanden en e-mailgegevenscommunicatie te volgen en te beheren in één NIST CSF-gealigneerd platform. Sterker nog, het Kiteworks Private Content Network is het eerste conforme en gemoderniseerde platform voor beveiligde bestand- en e-mailgegevenscommunicatie in de branche, gebouwd op het NIST CSF. Omdat Kiteworks aansluit bij de kernprincipes van het NIST CSF, kunnen bedrijven hun meest gevoelige content identificeren en beschermen via asset management, volgens het NIST CSF.

Met Kiteworks beheren organisaties de toegang tot gevoelige content; beschermen ze deze bij externe uitwisseling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuur; en kunnen ze alle bestandsactiviteiten inzien, volgen en rapporteren, namelijk wie wat naar wie, wanneer en hoe verstuurt.  

Tot slot tonen organisaties aan dat ze voldoen aan regelgeving en normen zoals GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP en vele andere. 

Wil je meer weten over Kiteworks? Plan vandaag nog een persoonlijke demo.