I 2008 gik det op for NSA, at der manglede en fundamental gentænkning af den bedste praksis for cybersikkerhed, og de nedsatte derfor en arbejdsgruppe, der formulerede 20 prioriterede emner, der i dag danner baggrund for et fællesskabsbaseret rammeværk, kaldet CIS-kontrollerne.
CIS-kontrollerne består af 20 praktiske, pragmatiske kontroller, som er målbare og med direkte henvisning til, hvordan de implementeres samt forslag til, hvilke KPI’er der bør opstilles for målinger.
Forskellen på CIS-kontrollerne og fx ISO27001 er, at du ikke kan blive certificeret efter CIS, men til gengæld opdateres CIS-kontrollerne løbende, og de indeholder prioriterede lister af, hvad du i praksis skal gøre for din cybersikkerhed. Det australske forsvar har fx vist, at hvis man implementerer de første fire kontroller fuldt ud, kan man mitigere op mod 90+% af alt malware.
CIS-kontrollerne er både intuitive og nemme at anvende i praksis, hvorfor vi også har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet it-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.
I dette nyhedsbrev stiller vi skarpt på kontrol 1, 2 og 18, der også relaterer sig til denne Måneds Cyberemne: Inventarstyring
Du skal vide, hvad der er og må være på dit netværk af hardware, og det indebærer en liste med autoriseret hardware, som skal vedligeholdes og overholdes. Alt uautoriseret hardware skal fjernes, og det skal forhindres, at uautoriseret hardware tilsluttes netværket.
Vigtige kontroller er:
Du skal vide, hvilket software der er og må være på dit netværk (inklusive hvilke versioner), hvilket indebærer en liste med autoriseret software, som skal vedligeholdes og overholdes. Alt uautoriseret software skal fjernes, og uautoriseret software skal forhindres i at blive eksekveret.
Vigtige kontroller er:
Egenudviklet software skal håndteres efter bedste praksis og udvikles efter principperne om sikker softwareudvikling. Det skal sårbarhedsscannes og rettes, og specielt på nedenstående områder har dette relevans for næsten alle virksomheder – også for dem, der ikke udvikler software selv:
I vores næste nyhedsbrev stiller vi skarpt på CIS-kontrol nr. 4, 14 og 16, som er udgangspunkt for arbejdet med at minimere de administrative rettigheder til et minimum og overvåge administrative rettigheder efter bedste praksis.