CIScontrols

Center for Internet Security Controls (CIS Controls) er en samling av beste praksis for cybersikkerhet som er utviklet for å hjelpe organisasjoner med å beskytte systemene og dataene sine mot cybertrusler. Disse kontrollene gir en strukturert tilnærming til risikoreduksjon, uavhengig av organisasjonens størrelse. CIS-kontrollene er globalt anerkjent og brukes ofte som en veiledning for å etablere og styrke en robust sikkerhetsstrategi.

Hva er CIS-kontrollene?

CIS Controls er et sett med 18 spesifikke tiltak som organisasjoner kan iverksette for å sikre IT-systemene sine mot de vanligste cybertruslene. Disse kontrollene er utviklet av Center for Internet Security (CIS), en ideell organisasjon som arbeider for å forbedre den globale cybersikkerheten. Kontrollene er basert på innsikt fra den virkelige verden og er i stadig utvikling for å håndtere nye trusler.

De 18 CIS-kontrollene er delt inn i tre kategorier, avhengig av organisasjonens prioriteringsnivå og ressurser:

  1. Grunnleggende kontroller (1-6): Dette er de viktigste tiltakene alle organisasjoner må iverksette for å sikre et grunnleggende beskyttelsesnivå.
  2. Grunnleggende kontroller (7-16): Disse kontrollene bygger på de grunnleggende kontrollene og gir dypere beskyttelse gjennom mer avanserte tiltak.
  3. Organisatoriske kontroller (17-18): Disse kontrollene fokuserer på ledelse og etablering av en sterk sikkerhetskultur i organisasjonen.

De 18 CIS-kontrollene

  1. Inventory of Managed AssetsGir en detaljert oversikt over all maskinvare og alle enheter i nettverket. Dette bidrar til å identifisere uautoriserte enheter og reduserer risikoen for uønsket tilgang.
  2. Inventory of SoftwareOppbevar en liste over all installert programvare, og begrens bruken av uautoriserte programmer. Dette forhindrer at ondsinnet eller uønsket programvare kjører på systemene.
  3. SårbarhetsstyringUtførregelmessige sikkerhetsskanninger for å identifisere sårbarheter i systemer og applikasjoner, og utbedre dem raskt ved hjelp av oppdateringer.
  4. Brukerkontroll med administrative rettigheterBegrens og kontroller hvem som har administrative rettigheter i organisasjonen. Dette forhindrer at uautoriserte brukere kan endre viktige systeminnstillinger.
  5. Bruker- og tilgangsstyringSørg for streng tilgangsstyring der hver bruker kun får tilgang til den informasjonen og de systemene som kreves for jobben.
  6. Administrere sikkerhetskonfigurasjonerEtabler sikkerhetskonfigurasjoner for maskinvare og programvare for å minimere sårbarheter. Dette omfatter for eksempel brannmurinnstillinger, passordpolicyer og kryptering.
  7. Kontinuerlig overvåking og loggingSørg for at alle systemer overvåkes kontinuerlig, og at det føres logger over aktiviteter. Dette bidrar til å raskt identifisere mistenkelig aktivitet.
  8. Beskyttelsemot skadelig programvare Implementer og vedlikehold programmer for beskyttelse mot skadelig programvare for å beskytte systemene mot virus, ormer, løsepengevirus og annen ondsinnet programvare.
  9. E-post- og nettlesersikkerhetBeskytte-post- og nettlesersystemer mot angrep som phishing, drive-by-nedlastinger og utnyttelse av utdatert programvare.
  10. Sikkerhetskopiering og gjenoppretting av dataSørg for regelmessig sikkerhetskopiering av kritiske data, og test gjenopprettingsprosedyrer for å forhindre tap av data i tilfelle en hendelse.
  11. SikkerprogramvareadministrasjonBruk sikkerhetspraksis i alle faser av programvareutviklingen, fra design til distribusjon, for å minimere sårbarheter.
  12. Sikre nettverksporter, protokoller og tjenesterAdministrer nettverkstilgangen ved å stenge ubrukte porter og tjenester og kun bruke tillatte protokoller for å redusere sannsynligheten for angrep.
  13. DatabeskyttelseImplementere tiltak som kryptering og tilgangskontroll for å beskytte sensitiv informasjon mot uautorisert tilgang og tap.
  14. Overvåking av nettverkssikkerhetBrukverktøy som brannmurer og systemer for innbruddsdeteksjon for å overvåke nettverkstrafikken og blokkere potensielle angrep.
  15. Sikkerhet for mobileenheterImplementersikkerhetstiltak for mobile enheter som smarttelefoner og nettbrett, inkludert kryptering og fjernadministrasjon, for å beskytte sensitive data.
  16. Kontoovervåking og -administrasjon Overvåkbrukerkontoer og sørg for at inaktive kontoer raskt slettes eller deaktiveres for å hindre uautorisert tilgang.
  17. Implementering av et program for sikkerhetsbevissthetGjennomfør regelmessig opplæring av ansatte for å gjøre dem oppmerksomme på cybertrusler som phishing og sosial manipulering.
  18. Hendelsesrespons og -håndteringUtvikleog teste en detaljert hendelsesresponsplan for raskt å kunne reagere på cyberangrep og redusere konsekvensene.

Betydningen av CIS-kontroller

CIS-kontroller hjelper organisasjoner med å håndtere risiko på en systematisk måte og styrke sikkerheten. Ved å implementere disse kontrollene kan bedrifter beskytte seg mot de vanligste cybertruslene, som skadelig programvare, phishing og angrep på sårbare systemer.

Viktige fordeler ved å implementere CIS-kontroller:

  • Styrket sikkerhet: CIS-kontrollene gir et rammeverk som hjelper organisasjoner med å iverksette de riktige tiltakene for å sikre IT-systemene sine.
  • Risikostyring: Organisasjoner kan reagere bedre på potensielle risikoer og cyberangrep ved å fokusere på de områdene som er mest sårbare.
  • Overensstemmelse: CIS Controls er i tråd med mange internasjonale standarder og forskrifter, for eksempel GDPR, NIST og ISO 27001, noe som bidrar til å overholde juridiske forpliktelser.
  • Kostnadseffektivitet: Ved å prioritere de mest kritiske sikkerhetstiltakene kan organisasjoner utnytte sikkerhetsbudsjettene og -ressursene sine effektivt.
dreamstime_xxl_126587946.jpg

CIS-kontroller i praksis

CIS-kontrollene kan enkelt tilpasses en organisasjons størrelse og kompleksitet. Mindre organisasjoner kan starte med de grunnleggende kontrollene (1-6) og utvide sikkerhetsprogrammene sine etter hvert, mens større selskaper kan implementere kontrollene fullt ut.

CIS tilbyr også verktøy, som CIS Controls Implementation Guide og CIS-CAT (CIS Configuration Assessment Tool), for å hjelpe organisasjoner med å vurdere sikkerhetsnivået sitt og enkelt implementere de riktige kontrollene.

Fremtiden for CIS-kontroller

Cybertruslene fortsetter å utvikle seg, og derfor fortsetter også CIS-kontrollene å utvikle seg. Nye versjoner av kontrollene lanseres jevnlig for å ta hensyn til ny teknologi og nye trusler som skysikkerhet, kunstig intelligens og tingenes internett (IoT). Dette betyr at organisasjoner som følger CIS-kontrollene, har tilgang til de mest oppdaterte strategiene for å sikre nettverkene og dataene sine.

Velg IRM360

Med IRM360 er du sikret en sikker og compliant fremtid på en skalerbar, praktisk og kostnadseffektiv måte.

Med våre andre styringssystemer for blant annet personvern, forretningskontinuitet, kunstig intelligens og risikobevissthet kan du enkelt utvide kontrollen i ditt eget tempo.

Kontakt oss i dag for mer informasjon, eller be om en online demo av programvaren vår.

Klikk her for å be om en online demo.

dreamstime_xxl_34685949.jpg

ISO 27001

Oppfyll kravene til informasjonssikkerhet på en strukturert og enkel måte

Les mer om dette

ISO27701 AVG.jpg

ISO 22301

Sørg for at organisasjonen din er klar for sertifisering for Business Continuity!

Les mer om dette

Normen-ISMS-Cyber-Security.jpg

Cybersecurity Framework

Beskytt organisasjonen din bedre mot cyberangrep ved hjelp av NIST-retningslinjene!

Les mer om dette

Vil du vite mer om IRM360 Management System?

Klikk her for mer informasjon!

Vi vil gjerne komme i kontakt med deg.

Send en e-post til: sales@irm360.nl eller fyll ut kontaktskjemaet.