CIS Controls – Säkerhetsbedömning
Säkerhetsanalys som ger insikter i säkerhetsläget för företagets IT-miljö.
CIS Controls utvecklas av ledande säkerhetsexperter
Du får en översikt över vilken din säkerhetsnivå är – baserad på oberoende källors rekommendationer om kontroller och prioriteringar. Här är CIS Controls ett arbetsverktyg för att göra en prioriteringsplan som kontinuerligt säkerställer ett strukturerat sätt att arbeta med organisationens säkerhet.
Center for Internet Security (CIS) Critical Security Controls (CIS Controls, tidigare känt som SANS Top 20) är en uppsättning prioriterade kontroller som skapats för att stoppa de mest genomträngande och farliga hoten idag. CIS Controls har tagits fram av ledande säkerhetsexperter från hela världen och utvecklas, prioriteras och valideras varje år.
Riktlinjerna består av 18 kritiska kontroller, kallade Critical Security Controls (CSCs), som måste implementeras för att upptäcka, blockera eller förhindra attacker. Kontrollerna är utformade så att de kan implementeras, verkställas och övervakas främst med automatiserade lösningar.
CIS Controls kan ligga till grund för en konkret åtgärdslista. Att använda dessa kontroller ger dig bland annat möjligheten till en prioriterad insats som ökar IT-säkerheten så att den passar den accepterade risknivån. Bara genom att genomföra de första sex kontrollerna (Basic) kan du minska sannolikheten för ett säkerhetsbrott med mellan 85-93 %.
Att hitta var säkerhetsluckorna finns och prioritera det som behöver hanteras blir lättare när besluten fattas utifrån en genomarbetad säkerhetsbedömning. CIS Controls är en beprövad metodik som ger dig en roadmap till en stärkt cybersäkerhet.
CIS Controls
Version 8
| 1 | Inventory and Control of Enterprise Assets | |||||
| 2 | Inventory and Control of Software Assets | |||||
| 3 | Data Protection | |||||
| 4 | Secure Configuration of Enterprise Assets and Software | |||||
| 5 | Account Management | |||||
| 6 | Access Control Management | |||||
| 7 | Continuous Vulnerability Management | |||||
| 8 | Audit Log Management |
Critical Security Controls (CSCs)
Säkerhetskontrollerna resulterar i rekommendationer för cybersäkerhet, skrivna på ett språk som lätt kan förstås av IT-personal. CIS Controls är rangordnade så att du kan använda dem för att göra en säkerhetsplan med en prioritetsordning.
Kontrollerna är indelade i tre grupper:
- Basic.
- Foundational.
- Organizational.
Dessa överensstämmer med punkter i exempelvis ISO27001 / ISO27002 / NIST-ramverket.
Vill du veta mer om CIS Controls?
Kontakta oss för att få stöd i din roadmap till en stärkt cybersäkerhet.
Varför CIS Controls?
En gemensam och erkänd referensram skapas inom IT, vilket gör IT-säkerhet mätbar. Denna ram bygger på många stora företags erfarenheter av attacker, attacktekniker och processer.
CIS Controls har en tydlig koppling till punkter i större säkerhetsramverk, som ISO27001 / ISO27002 / NIST, och synliggör en verksamhets säkerhetsnivå genom att vidta säkerhetsåtgärder på ett strukturerat sätt.
Vad är en IT-säkerhetsanalys?
Conscias certifierade säkerhetsexperter utgår ifrån CIS Controls-ramverket och analyserar era omständigheter och kommer med förslag på grundläggande regelverk och efterlevnad för IT-säkerhet med fokus på infrastruktur såsom nätverk och brandväggar.
Hur kommer jag igång med en Conscia Säkerhetsbedömning?
Vi börjar med ett uppstartsmöte, följt av intervjuer med relevanta personer om den aktuella säkerheten / kontrollerna. Kunden måste bidra med relevanta personer som har insikt i den aktuella säkerhetsuppsättningen (CISO, säkerhetsarkitekter, nätverk / säkerhetsoperatörer). Sedan utarbetas en rapport som sammanfattar resultatet av den slutförda utvärderingen och du får en översikt över den aktuella säkerhetsnivån. Slutligen presenteras rapporten, inklusive rekommendationer för kritiska förbättringar.
Hur lång tid tar det att göra en säkerhetsbedömning?
Vi har en projektplan och normalt tar hela projektet mellan 3 och 6 veckor.
Projektplan
- Uppstartsmöte.
- Presentation / workshop Conscia Säkerhetsbedömning.
- Intervjuer med relevanta parter.
- Framtagande av rapport med rekommendationer.
Vad får jag ut av en CIS Controls Säkerhetsrapport?
Du får en översikt över vilken din säkerhetsnivå är – baserad på oberoende källors rekommendationer om kontroller och prioriteringar. Här är CIS Controls ett arbetsverktyg för att göra en prioriteringsplan som kontinuerligt säkerställer ett strukturerat sätt att arbeta med organisationens säkerhet.
Vad ingår i tjänsten?
Conscia analyserar och kommer med förslag på grundläggande regelverk och efterlevnad för IT-säkerhet med fokus på infrastruktur såsom nätverk och brandväggar. Det är ett enkelt sätt att bilda sig en uppfattning av statusen på IT-säkerhetsarbetet och hjälper till att fatta rätt beslut kring er IT-säkerhet. Hitta sårbarheterna innan de drabbar er.
Fördelarna med Conscia
Nätverk och brandväggar är grundläggande hörnstenar i IT-säkerhetsarbetet och det är ett område som vi kan. Conscia har flest certifierade Cisco design-experter utanför Cisco själva – i hela världen. Det innebär att vi kan hämta in rätt information, göra en väl avvägd analys och ge er de bästa verktygen och vägledningen för att fatta rätt beslut om er IT-säkerhet. Vi har helt enkelt gjort det här förut och garanterar er ett bra resultat.
Hur går en IT-säkerhetsanalys till?
- Informationsinsamling . Genomgång av design, systemsamband, konfigurationer, regelverk, tekniker som används och protokoll i befintligt nätverk och brandväggar.
- Riskanalys. Vi går igenom fel, brister och risker utifrån säkerhets och tillgänglighetssynpunkt. Vi identifierar samt klassar dem gentemot vad vi enligt vår erfarenhet anser vara best practice för en design och konfiguration.
- Arbetssätt . Vi gör en övergripande genomgång av ert arbetssätt kring IT-säkerhet och kommer med rekommendationer kring förslag på förbättringar.
- Rapport. Resultat av genomlysning, riskanalys samt rekommenderade nästa steg dokumenteras i en rapport.
- Slutsats och workshop. I en gemensam workshop går vi igenom rapporten och diskuterar prioriteringar för nästa steg.
