Veel misbruikte termen in cyberbeveiliging

Woorden zijn moeilijk. Engels is moeilijk. Hoe we erin slagen om iets te communiceren is bijna een wonder.

Soms zou ik willen dat ik Oscar Wilde of Mark Twain was of een van de andere grote auteurs die moeiteloos een personage of een scenario lijken te kunnen beschrijven, zodat de lezer zich perfect kan voorstellen wat ze bedoelen.

In plaats daarvan ben ik bang dat ik meer ben zoals Shakespeare die woorden heeft uitgevonden en anderen heeft verdraaid om in zijn krankzinnige maatstaf te passen, zodat gemiddelde mensen zoals ik moeite hebben om de bedoelde betekenissen te begrijpen (tussen haakjes, ik hou van Shakespeare).

Helaas lijkt mijn gekozen veld gevuld met mede-Shakespeareanen - mensen die woorden gebruiken door alfabetsoep tegen een muur te gooien en de resultaten te lezen alsof je theeblaadjes leest, alleen met minder nauwkeurigheid.

Wat betekent dat eigenlijk?

Toen ik de database met cyberbeveiligingstermen maakte, die de ruggengraat vormt van de NIST Cybersecurity Glossary, stond ik versteld hoeveel verwarring er was over zelfs alomtegenwoordige termen als 'risico' en 'beveiliging'. Er is nog steeds geen echte consensus over wat het woord 'cyberbeveiliging' betekent!

Daarom heb ik een lijst samengesteld met enkele veelgebruikte termen op het gebied van cyberbeveiliging (dit zijn niet-officiële beschrijvingen die informatief zijn bedoeld):

Gegevens versus informatie versus kennis

Gegevens wordt meestal beschouwd als de bits en bytes waaruit informatie is samengesteld. Informatie verandert meerdere bits en bytes in iets bruikbaars. Een temperatuursensor kan bijvoorbeeld "102" lezen, maar informatie vertelt ons dat het 102 graden Fahrenheit is op een temperatuursensor die in de mond van een mens zat. Kennis is wat informatie toelaat om te zetten in actie. Er staat dat 102 graden Fahrenheit voor een mens veel te warm is. De regels tussen gegevens , informatie en kennis zijn wazig, maar er zijn sommigen die deze regels fel bepleiten.

Bedreiging versus risico

Een bedreiging wordt ofwel gebruikt om iets ergs aan te duiden dat zou kunnen gebeuren of een entiteit die ervoor kan zorgen dat er iets ergs gebeurt (ook wel een "bedreigingsactor" genoemd). Risico omvat de waarschijnlijkheid dat het slechte ding zou kunnen gebeuren en de mogelijke resultaten. Mensen gebruiken deze woorden vaak (onjuist) door elkaar.

Risicobeheer

Het proces van reageren op het potentieel dat er iets ergs zou kunnen gebeuren. Er zijn over het algemeen vier opties:het risico accepteren, overdragen, vermijden of mitigeren. Afhankelijk van met wie je praat, zijn er minstens acht opties, maar dit zijn de traditionele vier. Wanneer een cyberbeveiligingspersoon over risicobeheer praat, verwijst hij mogelijk naar het proces dat is vastgelegd in het Risk Management Framework.

Cyberbeveiliging

Kortom, de bescherming van computersystemen (inclusief netwerken, internet en alles wat "slim" is). Het is echter gebruikt als een overkoepelende term die ook informatieborging, gegevensbescherming en privacy omvat. Deze term zal waarschijnlijk blijven veranderen totdat iemand adequaat kan uitleggen wat 'cyber' is.

Informatieborging (of beveiliging)

De bescherming van alle feiten, nieuws, kennis of soms gegevens, in welke vorm dan ook - papier, elektronisch, stenen tablet, signalen, onthouden, enz. Vaak verward met en onder de paraplu van cyberbeveiliging geplaatst.

Standaard

Veel mensen noemen speciale publicaties van NIST verkeerd als standaarden, maar het is iets ingewikkelder dan dat. NIST ontwikkelt wel formele standaarden – Federal Information Processing Standards (FIPS), zoals bijvoorbeeld FIPS 200 en FIPS 140-3. NIST neemt ook deel aan de ontwikkeling van industriële en internationale normen. Het woord standaard kan ook worden gebruikt om een ​​kwaliteitsniveau of een geaccepteerde norm aan te duiden. In dit laatste geval worden NIST-publicaties vaak gebruikt als standaard . Het is een subtiel verschil, maar wel een belangrijk verschil. Toch is het over het algemeen het beste om geen speciale publicaties van NIST (SP's), interne/interagency-rapporten (IR's), whitepapers of iets anders dan een FIPS een standaard te noemen. en gebruik in plaats daarvan de termen "publicatie", "document" of "richtlijn".

Vereisten versus controles

Beide termen kunnen worden gebruikt om specifieke activiteiten, processen, praktijken of capaciteiten te identificeren die een organisatie kan hebben of doen om hun cyberbeveiligingsrisico te beheren. Besturingselementen al dan niet verplicht zijn, terwijl vereisten over het algemeen zijn. Het is altijd het beste om te controleren welke term een ​​document gebruikt. Veel mensen verwijzen bijvoorbeeld naar NIST SP 800-171 vereisten als bedieningen , wat niet klopt.

Audit versus beoordeling

In cyberbeveiliging is de term audit heeft vaak een meer formele en negatieve ondertoon dan in sommige andere disciplines. Audities worden gedaan na een incident zoals een datalek (meestal een interne audit), op verzoek van een klant (meestal een externe audit uitgevoerd door de klant), of om een ​​certificering te verkrijgen (een audit door een derde partij). Evaluaties zijn meestal, maar niet altijd, meer als een vriendelijke gezondheidscheck-up. Beoordelingen omvatten een willekeurig aantal activiteiten en kunnen smal of breed zijn, met zoveel nauwkeurigheid als het bedrijf dat wordt beoordeeld, wenst of geschikt is voor de situatie. Een uitzondering op deze algemene regel is het Cybersecurity Maturity Model Certification (CMMC)-programma, dat het woord assessment gebruikt. als de formele methode waarmee een bedrijf wordt geëvalueerd.

Naleving

Naleving verwijst meestal naar het voldoen aan een vereiste (intern of extern, soms regelgevend) en wordt vaak weergegeven met een certificering of attest van een soort. Mensen gebruiken vaak zinnen als 'NIST-compatibel'. Dit kan misleidend zijn, aangezien velen het interpreteren als een aanwijzing dat NIST een vereiste oplegt of de veiligheid van de producten of processen van een bedrijf certificeert of bevestigt. Wat doorgaans wordt bedoeld met "NIST-compatibel" is dat het bedrijf de praktijken en procedures in NIST-publicaties heeft gebruikt, vaak om aan bepaalde vereisten te voldoen. Hoewel dit kan worden gezien als een naleving activiteit, is het over het algemeen het beste om verwarring te voorkomen door in plaats daarvan aan te geven welke regel of vereiste het onderwerp is van de naleving. Men kan bijvoorbeeld NIST SP 800-171 volgen om te voldoen aan DFARS. Een uitzondering hierop is met cryptografische algoritmen en modules, in welk geval de juiste terminologie gevalideerd en compliant is, geeft aan dat het algehele product niet heeft formeel geëvalueerd.

Woorden in het Engels evolueren bijna net zo snel als memes op internet - een miljoen Shakespeareanen nemen de Engelse taal mee terug om te worden afgeslacht, gemanipuleerd en opgevouwen in een nauwelijks herkenbaar schrift. Op het gebied van cybersecurity lijkt dit met roekeloze overgave te gebeuren. Maar als u enkele van deze belangrijke termen begrijpt en hoe ze worden gebruikt, kunt u uw behoeften op het gebied van cyberbeveiliging beter begrijpen en communiceren.