فهم تحديث CISA's CPG 2.0

في عالم الأمن السيبراني المتسارع، أصبح "الأمن الأساسي" هدفًا متحركًا دائمًا. في 11 ديسمبر 2025، رفعت CISA رسميًا مستوى الأمان مع إصدار أهداف الأداء الأمني الإلكتروني (CPG) 2.0.

إذا كانت النسخة 1.0 تتحدث عن تحديد "ما" يجب القيام به، فإن النسخة 2.0 تتحدث عن "كيفية" إدارة وتوسيع تلك الإجراءات الأمنية عبر بيئات وعمليات متزايدة التعقيد. هذا التحديث ليس مجرد تحديث بسيط أو إعادة تفكير في نهاية السنة. بدلاً من ذلك، يعتبر إعادة توجيه استراتيجي مع أحدث مشهد التهديدات، الظروف التشغيلية والدليل الأمني الإلكتروني لـ NIST (CSF) 2.0.

إليكم ما يحتاج كل CISO، مدير تكنولوجيا المعلومات، محلل الأمن، عضو فريق SOC وعضو مجلس الإدارة إلى معرفته عن تقرير CPG الجديد 2.0.

قبل أن نتحرك للأمام، لا تنسوا الاطلاع على تقرير التحقيق والتحليل الأولي حول اختراق نيسان-ريد هات هنا.

صعود "الحكم": الأمن يبدأ من الأعلى

التغيير الأهم في CPG 2.0 هو التكامل الكامل لوظيفة الحكم. بينما ركزت النسخة السابقة بشدة على الضوابط الفنية، فإن 2.0 تعترف بأن حتى أفضل الأدوات ستفشل بدون المساءلة التنظيمية.

مساءلة القيادة: تدعو الأهداف المحدثة بصراحة إلى تحديد مسؤوليات الأمن السيبراني على مستوى القيادة التنفيذية.
إدارة المخاطر: تحث المنظمات على معالجة المخاطر السيبرانية باعتبارها مخاطر عمل، والابتعاد عن مناقشات تكنولوجيا المعلومات المعزولة.
التكامل الاستراتيجي: الأمن لم يعد "إضافة" - يجب أن يكون جزءًا لا يتجزأ من عمليات اليوم واليوم وتخطيط الاستثمارات الرأسمالية.

كسر الحواجز: توحيد أهداف الأمن لتكنولوجيا المعلومات وOT

لسنوات، تم التعامل مع التكنولوجيا التشغيلية (OT) وتكنولوجيا المعلومات (IT) كعالمين مختلفين. تنهي CISA 2.0 فعليًا تلك الحقبة. يجمع التقرير الجديد أهداف OT المحددة إلى أهداف عالمية.

من خلال إنشاء إطار عمل موحد، تساعد CISA المنظمات، خاصة الصغيرة والمتوسطة منها، في إدارة بصمتها الرقمية كاملة بدون الحاجة إلى دفاتر قواعد منفصلة لشبكات مكاتبهم وأرضيات مصانعهم أو مضخاتهم المائية. هذه خطوة كبيرة نحو تبسيط أهداف SecOp.

أهداف جديدة للتهديدات الحديثة

يقدم تقرير 2.0 أهدافًا جديدة بينما يزيل ثلاثة أهداف اعتبرت مكررة أو غير مستغلة. تعالج هذه الإضافات التكتيكات المحددة التي شاهدناها تهيمن على مشهد التهديدات خلال العام الماضي:

مخاطر مقدمي الخدمة المدارة (MSP): أهداف جديدة لإدارة مقدمي الخدمة الخارجيين الذين لديهم وصول عميق للنظام.
أقل امتياز وثقة صفرية: توقعات أوضح لتطبيق "مبادئ الأقل امتياز" لوقف الحركة الجانبية.
كشف الكود الضار: التركيز على تحديد وحظر الكود غير المصرح به قبل تنفيذه.
التواصل في الأزمات: إجراءات موحدة لكيفية تحدث المنظمات إلى المساهمين خلال الأزمة.

بيانات أفضل لاتخاذ قرارات أفضل

قامت CISA بتجديد تقييمات التنفيذ في التقرير. كل هدف الآن يتضمن تحسينات لمقاييس:

التكلفة: ما هو العبء المالي الفعلي؟
التأثير: إلى أي مدى يقلل هذا من المخاطر بالفعل؟
التعقيد: ما مدى صعوبة الحفاظ على هذا على المدى الطويل؟

توفر هذه التقييمات فرق الأمن بأداة قوية لتبرير الميزانيات أمام المجلس. بدلاً من طلب "مزيد من الأمان"، يمكنك الآن تقديم قضية تعتمد على البيانات للفوز السريع ذو التأثير العالي والتكلفة المنخفضة كما هو موضح في CPGs.

كيفية البدء مع CPG 2.0

تبقى الأهداف طوعية، لكنها سريعة لتصبح "المعيار الذهبي" لما يبدو عليه موقف الأمن الأساسي في نظر المنظمين ومقدمي التأمين.

إجراء تحليل الفجوة: استخدم قائمة التحقق الجديدة CPG 2.0 لمعرفة موقف برنامجك الحالي.
التركيز على وظيفة "الحكم": إذا لم يكن القيادة قد شاركت في المحادثة بعد، فاستخدم هيكل التقارير الجديد 2.0 لجعلهم يشاركون.
الاستفادة من موارد CISA: ابحث عن وحدة CSET (أداة تقييم الأمن السيبراني) الجديدة القادمة في الربع الأول من 2026 لأتمتة تقييمك.

الخط السفلي: ليست مسألة القيام بمزيد من العمل مع CISA CPG 2.0. بدلاً من ذلك، يتعلق الأمر بتنفيذ الأشياء الصحيحة بشكل أكثر فعالية لتحقيق نتائج أكثر توافقًا. من خلال المحاذاة مع NIST CSF 2.0 وتوحيد الأمن IT/OT، قدمت CISA خارطة طريق تتكامل أخيرًا كما أنظمة نحاول حمايتها.