Hvad er CIS-18?
CIS-18 er et sæt af 18 sikkerhedskontroller og benchmarks, der er udviklet af Center for Internet Security (CIS), en uafhængig organisation, der fremmer god cybersikkerhed på globalt plan. CIS-18 er baseret på viden fra eksperter fra forskellige sektorer. CIS-18 er designet til at hjælpe organisationer med at beskytte deres netværk, systemer og data mod cybertrusler, ved at tilbyde praktiske og effektive anbefalinger til implementering og overvågning af sikkerhedsforanstaltninger.
CIS-18 er opdelt i 3 implementeringsgrupper, som kan ses som forskellige niveauer af cybersikkerhed.
Alle typer og størrelser af virksomheder kan med fordel anvende CIS-18 som værktøj.
Hvad er fordelene ved at bruge CIS-18?
CIS-18 kan give mange fordele for organisationer, der ønsker at forbedre deres cybersikkerhed, såsom:
Reducere risikoen for cyberangreb: CIS-18 dækker de mest almindelige og kritiske sårbarheder, som hackere udnytter, og giver løsninger til at lukke dem. Ved at følge CIS-18 kan organisationer forhindre eller minimere skaderne fra de fleste cyberangreb.
Forbedre overholdelse af lovgivning og standarder: CIS-18 er i overensstemmelse med mange nationale og internationale lovgivninger og standarder for cybersikkerhed, såsom EU's databeskyttelsesforordning (GDPR), ISO 27001 og NIST Cybersecurity Framework. Ved at bruge CIS-18 kan organisationer demonstrere deres overholdelse af disse krav og undgå bøder eller sanktioner.
Optimere ressourceforbrug og omkostninger: CIS-18 er prioriteret efter effektivitet og omkostningsbesparelse, så organisationer kan fokusere på de vigtigste og mest rentable sikkerhedsforanstaltninger. CIS-18 giver også mulighed for at måle og sammenligne organisationens sikkerhedsniveau med andre organisationer i samme branche eller region.
Forbedre omdømme og tillid: CIS-18 er anerkendt og respekteret af mange interessenter, såsom kunder, partnere, leverandører, investorer og myndigheder. Ved at bruge CIS-18 kan organisationer signalere deres engagement i cybersikkerhed og opbygge et positivt omdømme og tillid blandt deres interessenter.
Hvordan kan man komme i gang med CIS-18?
CIS-18 er tilgængelig for alle organisationer, uanset størrelse, sektor eller geografi. CIS-18 er gratis at downloade fra CIS' hjemmeside, hvor man også kan finde flere ressourcer, såsom vejledninger, værktøjer, webinars og fællesskaber. CIS-18 er opdelt i tre niveauer af implementering, afhængigt af organisationens modenhed og behov. Niveau 1 er det grundlæggende niveau, der dækker de seks vigtigste kontroller, som alle organisationer bør have. Niveau 2 er det mellemliggende niveau, der dækker de 11 næste kontroller, som organisationer med højere risiko bør have. Niveau 3 er det avancerede niveau, der dækker de sidste syv kontroller, som organisationer med de højeste risici bør have. Organisationer kan vælge det niveau, der passer bedst til deres situation, og gradvist forbedre deres sikkerhedsniveau over tid.
CIS-18 er en fleksibel og dynamisk ramme, der kan tilpasses til organisationens specifikke kontekst og mål. CIS-18 er også opdateret regelmæssigt for at afspejle de nyeste trusler og tendenser i cybersikkerhed. CIS-18 er derfor et værdifuldt redskab for organisationer, der ønsker at styrke deres cybersikkerhed og opnå de mange fordele, som det kan medføre.
CIS-18 og CIS-benchmarks
Når man arbejder med CIS-18 kan det være svært – som IT-ansvarlig - at forholde sig til hvad man skal gøre i praksis.
CIS har lavet vejledninger – såkaldte benchmarks – for de mest anvendte enheder og systemer. Disse vejledninger er meget detaljerede og giver konkrete tips til opsætning af systemer og enheders sikkerhed.
Fx findes der vejledninger til Windows 10 og 11, Windows Server, SQL Server, Intune, Apple IOS enheder og en lang række andre systemer. Der findes sågar en benchmark til Power Apps som Nem ISMS er bygget på.
CIS-18 og Nem ISMS
Nem ISMS er bygget til at arbejde effektivt med forskellige foranstaltningskataloger, herunder CIS-18.
Alle CIS-18 foranstaltninger kan importeres i Nem ISMS, og man kan arbejde med dem over tid.
Men ikke nok med det, du kan arbejde med de relevante benchmarks og knytte disse direkte til de enkelte informationsaktiver og foranstaltninger i Nem ISMS.
På denne måde kan du både bruge Nem ISMS til at holde overblikket, planlægge implementering og dokumentere implementeringen af både foranstaltninger og benchmarks.
Det gør det nemmere at samarbejde både internt og eksternt med foranstaltningerne og din organisation har selv hånd om sagerne – eksterne eksperter kan inviteres ind i Nem ISMS som gæster.
Interesseret i en demo eller en dialog om Nem ISMS, så tøv ikke med at række ud.
