Overeenkomsten en verschillen tussen CIS, ISO en NIST

De CIS-controls zijn niet het enige framework dat kan helpen bij het structureren van IT-security.
Ook ISO 27001/2, NIST CSF en NIST SP 800-53 zijn standaarden die bedrijven kunnen helpen bij het voorkomen van, detecteren en reageren op cyberaanvallen.
Kenmerkend voor de ISO- en NIST-standaarden is echter dat ze voornamelijk meer theoretisch georiënteerde benaderingen van IT-security uitdrukken. De standaarden gaan in op de belangrijkste aspecten van IT-security, maar bieden bedrijven geen concrete instructies. Dit gebrek aan praktische focus stelt grote eisen aan securityprofessionals: het beveiligingsniveau van een organisatie is afhankelijk van hun vermogen om de theorie van ISO en NIST om te zetten in de praktijk.

Dit is een grote verantwoordelijkheid die vanuit het perspectief van de organisatie gezien, voor de hand liggende risico’s met zich meebrengt.
Een ander wezenlijk voordeel van de CIS-controls is dat de standaard vaker wordt bijgewerkt om veranderingen en ontwikkelingen in aanvalstechnieken weer te geven. De organisatie achter CIS bestaat uit particuliere en publieke bedrijven die dagelijks werken met frontline security. Deze bedrijven kennen de patronen en methoden van cybercriminelen en gebruiken deze kennis om de CIS-controls te updaten, zodat ze altijd het reële dreigingslandschap weerspiegelen in plaats van een statisch dreigingsbeeld. De prioritering van de afzonderlijke domeinen en safeguards verandert daarom ook regelmatig.

Belangrijk is dat ISO, NIST en CIS elkaar aanvullen. Dit betekent dat als een bedrijf bijvoorbeeld verplicht is om te voldoen aan ISO 27001, het de CIS-controls kan gebruiken als een operationeel hulpmiddel om aan de ISO-eisen te voldoen. Beveiligingsstandaarden zijn allemaal ontwikkeld met hetzelfde doel, maar beschrijven verschillende manieren om dat doel te bereiken. De ervaring leert dat steeds meer organisaties ervoor kiezen om het CIS-beveiligingsprogramma te volgen en vervolgens de praktijkwerkzaamheden gebruiken als documentatie om aan de eisen van ISO of NIST te voldoen

 

Wil je meer weten over hoe je dit kan toepassen in jouw organisatie? Lees dan onze hele handleiding.