Cybertrusler blir stadig mer sofistikerte og hyppige, og hverken små eller store organisasjoner kan tro at de er forskånet eller underkjenne risikoen for et angrep. Det er derfor ekstremt viktig å ha robuste sikkerhetstiltak på plass.
CIS18, som er utviklet av Center for Internet Security (CIS), representerer en omfattende og strukturert tilgang til cybersikkerhet. Rammeverket består av 18 kontroller og referansepunkt som er designet for å beskytte organisasjoner mot de mest vanlige og farligste sikkerhetstruslene.
Hva er CIS18?
CIS18, også kjent som Center for Internet Security's 18 Controls, er et rammeverk bestående av flere spesifikke sikkerhetskontroller. Jevnt over, er de utviklet til å forbedre cybersikkerheten hos organisasjoner på et globalt plan. De forskjellige kontrollene er opprettet på bakgrunn av ekspertise og erfaring fra forskjellige sektorer, og er utviklet til å håndtere en bred vifte av sikkerhetstrusler.
Rammeverket gjør det mulig for organisasjonen og ha en systematisk og effektiv metodikk til å forbedre sine sikkerhetstiltak og redusere risikoen for cyberangrep. Det skjer gjennom detaljerte veiledninger til hvordan man identifiserer, prioriterer og implementerer sikkerhetstiltak for å beskytte organisasjonens data og systemer.
Hvorfor er CIS18 viktig?
CIS18 er relevant for flere organisasjoner siden rammeverket gir en strukturert metode for å beskytte seg mot de vanligste og alvorligste cybersikkerhetstrusler. Ved å følge kontroller og referansepunkter i CIS18 kan organisasjonen minske risikoen for cyberangrep, datatap og andre sikkerhetsrelaterte hendelser. Rammeverket er basert på bestepraksis fra eksperter innenfor cybersikkerhet og oppdateres kontinuerlig for å imøtekomme nye trusler. Samtidig tilbyr det også en strukturert og utprøvd tilgang til sikkerhet.
Det er flere fordeler med å implementere CIS18:
1) Strukturert beskyttelse mot cybertrusler
CIS18 er en systematisk metode for å beskytte mot de mest utbredte og farligste cybersikkerhetstrusler, og hjelper samtidig organisasjonen med å prioritere sine sikkerhetsinstanser basert på risikoprofilen. Det vil si at ressursene kan brukes kan brukes mer effektivt, og at fokuset kan ligge på de mer kritiske sikkerhetsområdene.
2) Minsking av risiko
Ved å følge CIS18-kontrollene kan organisasjonen effektivt redusere risikoen for cyberangrep, datatap og andre sikkerhetsrelaterte hendelser. Kontrollene hjelper med å identifisere og avhjelpe sårbarheter, før de kan utnyttes av eventuelle angripere.
3) Basert på inngående ekspertise
CIS18 er utvikler på bakgrunn av omfattende ekspertise og erfaring fra cybersikkerhetsspesialister fra over hele verden. Det vil si at kontrollene er gjennomprøvd og reflekterer de nyeste og mest effektive sikkerhetstiltak.
4) Kontinuerlig oppdatering
Cybertrusler endrer seg konstant, og det samme gjør også teknologi og metodene til å bekjempe dem. CIS18 blir kontinuerlig oppdatert for å ta høyde for nye trusler og teknologiske framskritt, noe som betyr at organisasjonen alltid er rustet for å håndtere aktuelle utfordringer.
5) Økt motstandsdyktighet
Implementering av CIS18 øker organisasjonens samlede motstandsdyktighet når det kommer til cybertrusler. Rammeverket gjør det mulig å reagere kjapt og effektivt på sikkerhetshendelser, minske skader og gjenopprette normale operasjoner hurtigere, om et angrep blir en realitet.
6) Det blir enklere å overholde regulativer
Mange regulatoriske rammer og standarder henviser til eller er kompatible med CIS18. Ved å implementere kontrollene kan organisasjonen lettere oppnå og opprettholde compliance med lovgivningskrav som for eksempel NIS2, noe som står helt sentralt for å unngå sanksjoner og opprettholde et godt omdømme.
Hvordan kan CIS18 brukes i forbindelse med NIS2?
CIS18 og NIS2-direktivet supplerer hverandre og kan sammen styrke organisasjonens cybersikkerhet. NIS2 stiller skjerpede krav til cybersikkerhet, beredskap og rapportering, mens CIS18 tilbyr en praktisk og detaljert tilgang til å implementere disse kravene.
NIS2 krever løpende risikovurdering og hendelseshåndtering, noe som CIS18 understreker med spesifikke kontroller som hjelper til med å identifisere, vurdere og gjenkjenne ulike risikoer, samt etablere robuste hendelseshåndteringsplaner. Dessuten legger NIS2 vekt på kontinuerlig forbedring av sikkerhetstiltak, og CIS18s kontroller er nettopp utvikler til løpende overvåkninge for å sikre at sikkerhetstiltakene forblir effektive over tid.
NIS2 krever også at organisasjoner bør tar høyde for sikkerhetsrisikoer i sine forsyningskjeder. CIS18 inneholder kontroller for leverandørstyring, noe som hjelper med å sikre at tredjeparter overholder nødvendige sikkerhetsstandarder. En annen likhet er at NIS2 framhever viktigheten av sikkerhetstrening, noe som CIS18 også understøtter gjennom kontroller for trening og bevistgjøring av medarbeidere.
Ved å integrere CIS18 i sikkerhetsstrategien kan organisasjonen lettere oppfylle NIS2s krav og samtidig styrke den samlede cybersikkerheten. Dette er noe som skaper en mer robust og motstandsdyktig infrastruktur mot cybertrusler.
Hvordan kommer man i gang med CIS18?
Implementeringen av CIS18 starter med en vurdering av organisasjonens nåværende sikkerhetsnivå. Under dette faller eksempelvis identifisering av eventuelle hull og svakheter i forhold til CIS18-kontrollene. Etter den innledende vurderingen er det viktig å prioritere de kontrollene som gir størst verdi og beskyttelse basert på organisasjonens spesifikke risikoprofil. Ikke alle kontroller er like relevante for alle organisasjoner og det er derfor viktig med en fokusert tilgang.
Når prioriteringene er på plass kan implementeringen av de utvalgte kontrollene begynne. Dette trinnet involverer etablering av policys, prosedyrer og tekniske tiltak som understøtter hver kontroll. Det er viktig å sikre at alle sikkerhetstiltak er korrekt dokumentert og integrert i organisasjonens daglige drift, på samme måte som trening og bevisstgjøring hos medarbeiderne er viktig. De enkelte medarbeiderne skal informeres om de nye sikkerhetstiltakene og forstå sin rolle i å opprettholde organisasjonens sikkerhet.
Til sist er det viktig å etablere en prosess for løpende overvåkning og revisjon av kontrollene. Sikkerhetslandskapet endrer seg konstant, og det er derfor nødvendig å sikre at kontrollene forblir effektive og tilpassede til nye trusler og organisatoriske endringer. Gjennom å regelmessig overvåke og revidere sikkerhetstiltakene kan organisasjonen kjapt identifisere og adressere potensielle svakheter, noe som sikrer en vedvarende beskyttelse mot cybertrusler.
Kontrollene i CIS18
CIS18 er oppdelt i følgende hovedkategorier:
1. Inventory and Control of Enterprise Assets: Identifiser og spor alle fysiske og virtuelle aktiviteter i organisasjonen.
2. Inventory and Control of Software Assets: Administrer software på virksomhetens enheter for å sikre at det kun er installerte og anvendt autorisert software.
3. Data Protection Implementer: Implementer tiltak for å beskytte data både i hvile og under overføring.
4. Secure Configuration: Bruk sikre konfigurasjoner til alle aktive og software for å redusere sårbarheter.
5. Account Management: Sørg for korrekt administrasjon av brukerkontoer, inklusive adgangsrettigheter og autorisasjon.
6. Access Control Management: Begrens adgangen til nettverk og data basert på brukernes roller og behov.
7. Continuous Vulnerability Management: Regelmessig gjennomsyn og håndtering av sårbarheter i systemer og applikasjoner.
8. Audit Control Management: Overvåk og analyser sikkerhetsrelaterte hendelser ved hjelp av logger.
9. Email and Web Browser Protections: Implementer beskyttelsestiltak for å sikre e-post og søkemotorer.
10. Malware Defenses: Beskytt systemer mot uønskede programmer (malware) ved hjelp av passende sikkerhetssoftware og policys.
11. Data Recovery: Implementer backup- og gjendannelsesprosedyrer for å sikre dataintegritet og tilgjengelighet.
12. Network Infrastructure Management: Styrk nettverksinfrastrukturen gjennom segmentering og sikkerhetstiltak.
13. Network Monitoring and Defenses: Overvåk nettverk for uautoriserte aktiviteter og implementer forsvarsstrategier.
14. Security Awareness and Skills Training: Utdann medarbeidere i sikkerhetsbevissthet og ferdigheter.
15. Service Provider Management: Sør for at tredjepartsleverandører overholder sikkerhetspolitikker og -standarder.
16. Application Software Security: Implementer sikkerhet i utvikling og vedlikeholdelse av applikasjoner.
17. Incident Response Management: Utvikling og testing av planer for håndtering av sikkerhetshendelser.
18. Penetration Testing: Gjennomfør regelmessige tester for å identifisere og avhjelpe sårbarheter.
Implementering av CIS18 kan være en kompleks prosess, men med en systematisk tilgang kan organisasjonen oppnå en betydelig forbedring i sin cybersikkerhetsposisjon. Noe som igjen kan hjelpe med å beskytte mot trusler og sikre overholdelse av relevante lover og reguleringer.
