Vi sætter strøm til teorien, når vi stiller skarpt på, hvordan branchespecialister tænker cybersikkerhed. CIS-kontrollerne består af 20 praktiske og målbare kontroller, som tilsammen udgør et rammeværk for cybersikkerhed, og som har hjemme hos Center for Internet Security.
I 2008 gik det op for NSA, at der manglede en fundamental gentænkning af den bedste praksis for cybersikkerhed, og de nedsatte derfor en arbejdsgruppe, der formulerede 20 prioriterede emner, der i dag danner baggrund for et fællesskabsbaseret rammeværk kaldet CIS-kontrollerne.
CIS-kontrollerne består af 20 praktiske, pragmatiske kontroller, som er målbare, og som samtidig kommer med direkte henvisninger til, hvordan de implementeres, og forslag til, hvilke KPI’er der bør opstilles for målinger.
En af forskellene på CIS-kontrollerne og fx ISO27001 er, at du ikke kan blive certificeret efter CIS, men til gengæld opdateres CIS-kontrollerne løbende, og de indeholder prioriterede lister over, hvad du i praksis skal gøre for at øge din cybersikkerhed.
CIS-kontrollerne er både intuitive og nemme at anvende i praksis, hvorfor vi også har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet IT-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.
Forudse, styr og håndter sikkerhedshændelser med CIS-kontrol nummer 6, 8 og 16
Risikohåndtering udmøntes ofte i en beregnet kombination af sandsynlighed og konsekvens. Et eksempel på dette kunne være, at du kan nedsætte risikoen for, at en medarbejder klikker på en phishing mail ved målrettet og målbar awareness træning og når det så alligevel sker, kan konsekvens minimeres ved fx at fjerne lokale admin rettigheder og have velfungerende anti-malware løsning.
Det er dog ikke muligt at forhindre alle situationer hvor organisationen kan blive offer for malware (70% kommer udefra i form af ekstern hacking og 30% kommer internt fra organisationen selv) og derfor bliver håndtering af sikkerhedshændelser (Incident Response) et meget vigtigt element i hvordan organisationen håndterer deres it-sikkerhed.
Rettidig information om anomalitet er essentielt for håndtering af sikkerhedshændelser
Hvordan du forudser, styrer og håndterer dine sikkerhedshændelser er direkte afhængigt af, at få rettidig information om tegn på hændelser (på engelsk kaldt Indicators Of Compromise eller IOC), så der kan reageres fornuftigt på disse. Til dette kan CIS kontrollerne bidrage på følgende måde:
Når jeres sikkerhedshændelseshåndtering modtager en hændelse, så vurderes den og er den tilstrækkelig alvorlig tager SOC teamet (Security Operations Center) over og håndterer hændelsen efter en sikkerhedshændelsesplan som kan udarbejdes efter CIS-kontrol nummer 19.
Har virksomheden ikke selv et SOC-team kan denne service fås eksternt fx hos Deloitte. Det er vigtigt at SOC teamet løbende tester sikkerhedshændelsesplanen som også bør bestå af en Computer Security Incident Response Plan (CSIRP) og et Computer Security Incident Response Team (CSIRT), hvor specifikke eksempler på hændelser er beskrevet – ofte med udgangspunkt i Mitre ATT&CK rammeværket.
Vil du høre mere om hvordan du håndterer sikkerhedshændelser mest effektivt eller er du nysgerrig på hvilken service vi tilbyder inden for Incident Respond samt SOC-team, så kontakt Christian Schmidt på 30 93 60 09 (chrschmidt@deloitte.dk).