Har du svært ved at måle, om din IT sikkerhed er ”god nok”?

Vi ser ofte kunder indkøbe løsninger, som skal gøre deres IT sikkerhed ”bedre”, men hvilke faktorer medvirker til en bedre IT Sikkerhed og hvordan måler du det?

Når løsningerne indkøbes og skal bruges er det vigtigt at stille sig selv følgende vigtige spørgsmål, da de er medvirkende til at opnå optimal sikkerhed:

  • Passer den nye løsning ind i den eksisterende mosaik af løsninger og hvor stort er overlappet med eksisterende løsninger? Eller sagt med andre ord, hvor meget nyt bidrager den nye løsning med?
  • Bliver den nye løsning implementeret optimalt, så du får det fulde udbytte af løsningen? Bruger du produktet efter ”80/20 reglen” eller efter ”20/80 reglen”?
  • Kan løsningen udelukkende betjenes af en person i IT afdelingen og hvad gør I, når den person har ferie, er syg eller rejser fra virksomheden?

Der er brug for er en struktur, som indeholder kontroller og anbefalinger til, hvordan disse kontroller skal udføres. På den måde kan du på en struktureret måde indføre og bruge nye løsninger, der er komplementære, da sikkerhedsniveauet afhænger af summen af alle disse løsningers evne til at arbejde sammen.

Det rimer ofte på ISO27001 (som er standarden, du kan blive certificeret efter) og ISO27002 (som er den praktiske søster til ISO27001 og som beskriver hvad du skal kontrollere), men det tager meget lang tid at blive ISO27001 certificeret og de praktiske resultater er ofte flere år om at materialisere sig.

Det er her Center for Internet Security (CIS) og deres 20 Critical Security Controls kommer ind i billedet. Du kan ikke blive certificeret efter 20CSC, men dette er et framework af praktiske kontroller, der vil fungere som dit kompas for IT sikkerheden og som din målepind for niveauet af risiko, du vil acceptere.

De 20CSC består af 20 hovedkontroller (og 150 subkontroller) inden for områderne System, Netværk og Applikationer og de giver dig et prioriteret, struktureret og målbart framework for din IT sikkerhed. Du vil bl.a. opleve at:

  1. Indfører du de første 6 kontroller, kan sandsynligheden for en IT sikkerhedsbrist nedsættes med mellem 85-93% (tal fra praktiske eksempler). Se her
  2. Hvis du udfører en GAP analyse baseret på de 20CSC, vil du omgående kunne måle dit nuværende IT sikkerhedsniveau og det nye ønskede sikkerhedsniveau. Forskellen mellem de 2 er GAPet og giver et præcist målepunkt for din IT sikkerhedsindsats og forbedring.
  3. Du kan nemt tildele IT sikkerhedsprojekter til at lukke GAPet og det bliver derfor en præcis og målbar øvelse at øge IT Sikkerheden til et acceptabelt niveau.
  4. Det tager relativt kort tid at indføre de 20CSC. De første 6 kontroller kan formodentligt indføres på under 6 måneder og alle kontrollerne på under 1-2 år.
  5. De 20CSC mapper direkte mod kendte frameworks som fx ISO2700x, PCI DSS V3 og NIST 800-53. Så gennemfører du de 20CSC, er det som at skyde (en praktisk) genvej til fx en ISO27001 certificering.
  6. De 20CSC fungerer som perfekt grundlag for NIST Cyber Security Framework (CSF) processen, der bygger på procesautomatisering af hjørnestenene Identificér (”Identify”), Beskyt (”Protect”), Opdag (”Detect”), Svar (”Respond”) og Gendan (”Recover”).

Se hvordan du bruger de 20CSC og hvordan du kan udføre en GAP analyse i vores 45 minutters video på Draware’ YouTube hjemmeside: Se video her

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE
 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Thursday, 04 June 2020