CIS
CIS 18 Automatisering
Sådan sikrer du en robust CIS implementering
De færreste virksomheder har ressourcer og erfaring nok til at implementere cybersikkerhed og opnå et målbart, robust og kommunikerbart resultat.
Udfordringer ved ad-hoc løsninger
Vi ser ofte løsninger som er ad-hoc (billige og tilfældigt valgte) eller “løsninger” baseret på scripting, GPO og lignende. Disse løsninger er sjældent tilstrækkelige til at opfylde de langsigtede krav til cybersikkerhed.
Nøglen til succesfuld CIS implementering
Implementeringen af CIS kontrollerne er afhængige af den rigtige kombination af medarbejdere, kompetencer, processer, kontroller OG værktøjer til automatisering i et kontinuerligt tiltag med en flerårig horisont drevet af og forankret i ledelsen.
Eksempler på CIS leverandører
Herunder kan du gå på opdagelse i en liste med eksempler på leverandører, som robust understøtter specifikke CIS kontroller.
Jeg vil gerne vide mere om CIS 18 Automatisering
E-mails med følgende domæner besvares ikke: hotmail.com, gmail.com, yahoo.com og lign.
CIS v7.1
CIS v8
Kobling af CIS kontrollerne til andre rammeværk
- CIS kontroller kan ses som en pragmatisk og målbar udmøntning af tiltag i mange andre rammeværk uden at kontrollerne nødvendigvis er 1:1 og vel vidende at CIS kontrollerne er rettet mod cybersikkerhed og ikke dækker alle kontroller, der relaterer til Informationssikkerhed (som fx ISO 27001). Der er fx et sammenfald mellem CIS v7.1 og ISO27001 Annex A på 66 ud af 114 kontroller.
- Når du skal forklare ledelsen hvad resultatet af en cyberanalyse betyder for virksomhedens cyberrisko, så er koblingen til NIST CSF-områderne: Forbered (“Prepare”), Beskyt (“Protect”), Opdag (“Detect”), Håndter (“Respond”) og Genopret (“Recover”) ofte både nyttig og illustrativ.
- Til højre ser du en liste med CIS koblinger til andre rammeværk som du frit kan hente. Listen er ikke udtømmende og der kommer ofte beskrivelser af nye koblinger.
Koblinger og målinger
ISO 27001 (v7.1 / v8)
Automatisering af CIS kontrollerne
Herunder ser du en liste med software og hardware løsninger, du kan bruge til at gøre implementeringen af de enkelte CIS kontroller mere robust.
Implementering og kontrol med enterprise aktiver [5]
[IG1**:2 IG2:2 IG3:1]
Software
Lansweeper
RunZero
ME* Asset Explorer
SentinelOne Ranger
ImmuniWeb
SecurityTrails
Modenhedsvurdering
Implementering og kontrol med enterprise software [7]
[IG1:3 IG2:3 IG3:1]
Databeskyttelse og genskabelse af data [14] [IG1:6 IG2:6 IG3:2]
Sikker konfiguration af aktiver og software [12]
[IG1:7 IG2:4 IG3:1]
Software
Lansweeper
RunZero
ME* Asset Explorer
SentinelOne Ranger
ImmuniWeb
SecurityTrails
Modenhedsvurdering
Kontostyring og -kontrol [6]
[IG1:4 IG2:2 IG3:0]
Adgangsstyring [8]
[IG1:5 IG2:2 IG3:1]
Software
Delinea
PasswordState (ClickStudios)
Identity Access Management
ME PAM360
ME ADAudit
Onelogin/SailPoint
Kontinuerlig sårbarheds- administration og mitigering [7]
[IG1:4 IG2:3 IG3:0]
Software
Tenable.IO
ME Endpoint Central
ME PatchManager
ME Vulnerability Manager
SecurityScorecard
Modenhedsvurdering
Log management og SIEM [12]
[IG1:3 IG2:8 IG3:1]
E-mail og browserbeskyttelse [7][IG1:2 IG2:4 IG3:1]
Malware forsvar [7]
[IG1:3 IG2:4 IG3:0]
Genskabelse af data [5]
[IG1:4 IG2:1 IG3:0]
Administration af netværks- infrastruktur [8]
[IG1:1 IG2:6 IG3:1]
Netværksovervågning og -forsvar [11]
[IG1:0 IG2:6 IG3:5]
Cybersikkerhedstræning og kompetenceopgradering [9]
[IG1:8 IG2:1 IG3:0]
Software/Services
Proofpoint PSAT (PDF)
KnowBe4
Sophos Awareness Training
Inspired eLearning
Administration af serviceudbydere (MSSP) [7]
[IG1:1 IG2:3 IG3:3]
Software/Hardware
Lansweeper
ForcePoint CASB
Proofpoint CASB
NetWrix Auditor
Lepide
Sikker udvikling af applikationssoftware [14]
[IG1:0 IG2:11 IG3:3]
Software/Services
Tenable.IO (Application test)
ImproSec Secure Development
sSDLC
SafeCode (Link/PDF)
Administration og håndtering af cyberhændelser [9]
[IG1:3 IG2:5 IG3:1]
Software/Services
Pentest [5]
[IG1:0 IG2:3 IG3:2]
Software/Services
Cymulate
SentinelOne Vigilance
Sophos SOC
Dediko liste med danske SOC/IR