Center for Internet Security (CIS) lancerede i maj 2021 en opdatering af CIS-20 kontrollerne, som blev forbedret for at holde trit med moderne teknologi (systemer og software), øget trusselsbillede og hjemmearbejdspladsen.

CIS-18 er seneste udgave fra Institute for Cybersecurity’s best practise anbefalinger for beskyttelse mod cybertrusler. Sikkerhedskontrollerne samler en række sikkerhedsforanstaltninger virksomheder bør tage i anvendelse afhængig af profil. CIS-kontrollerne består af 18 håndgribelige kontroller, som er målbare og med direkte anbefalinger til, hvordan de implementeres, med en fokuseret indsats på sårbarhed og trussel.

Den nyeste version inkluderer bl.a. cloud- og mobilteknologier, med en ny kontrol “Service Provider Management”, der giver vejledning i, hvordan virksomheder kan administrere deres cloud-tjenester.

Bestræbelser på at strømline kontrollerne og organisere dem efter aktivitet resulterede i færre kontroller og færre sikkerhedsforanstaltninger (tidligere underkontroller). Der er nu 18 kontroller og 153 sikkerhedsforanstaltninger fordelt på tre implementeringsgrupper (IG’er).

IG1 = Grundlæggende cyberhygiejne

CIS Controls v8 definerer officielt IG1 som grundlæggende “cyberhygiejne” og repræsenterer en ny minimumsstandard for informationssikkerhed for alle virksomheder. IG1 (56 Safeguards) er et grundlæggende sæt af sikkerhedsforanstaltninger til cyberforsvar, som enhver virksomhed bør anvende for at beskytte sig mod de mest udbredte angreb. IG2 (yderligere 74 Safeguards) og IG3 (yderligere 23 Safeguards) bygger på tidligere IG’er.

Verizon Data Breach Investigations Report (DBIR) udgav i 2021 en publikation, hvor man identificerede et kernesæt af kontroller, som enhver virksomhed bør implementere uanset størrelse og budget:

• Kontrol 4: Sikker konfiguration af virksomhedsaktiver og -software

• Kontrol 5: Kontostyring

• Kontrol 6: Adgangskontrolstyring

• Kontrol 14: Sikkerhedsbevidsthed og færdighedstræning

Hvordan gribes opgaven an?

I-Trust har stor erfaring med at hjælpe organisationer med sikkerhedstiltag. I platformen enablor er der skabt en standardiseret metode omkring CIS-kontrollerne, sidestillet med en drejebog for en kontinuerlige tilgang til cybersikkerhed og IT-sikkerhedsarbejdet. Platformen sikrer organisationen et centralt samlingspunkt for cybersikkerhed, hvor excel ark erstattes med mulighed for automatiseret rapporter, benchmark og historik, samt en lang række optioner, som giver et klart billede af organisationens status og gaps.

CIS kontrollerne gennemføres via I-Trust platform, enablor, med følgende funktionalitet til rådighed:

  • Status – for alle organisationens initiativer for cybersikkerhed
  • Anbefalinger – baseret på CIS 18’s omfattende vidensbiblioteker
  • Overblik – over aktiviteter, evalueringer og opfølgninger
  • Administration – af kontroller og enheder
  • Aktivitetscenter – samlingspunkt for opgaver, opfølgninger og gentagelser
  • Historik og benchmark – statusudvikling og sammenligning med referencegrupper
  • Rapportering – rapporter til ledelse og fagansvarlige
  • Analysemodul – BI analyser af status

Du kan læse mere omkring I-Trusts cybersikkerhedsprogram her.