Säkerhetsramverk / CIS

Ett säkerhetsarbete kräver struktur, strategi och en målbild för att bli riktigt framgångsrikt. QLS tar stöd i olika ramverk för att hjälpa kunder i strävan mot olika nätverkslösningar och ett komplett säkerhetsarbete.

Vad innebär ett säkerhetsramverk och varför ska man använda det?

IT-säkerhet och de risker som en utökad digitalisering innebär, är ett produkt- och kunskapsområde som växer och blir mer komplext för varje dag som går.

Som ansvarig för ett bolags IT-säkerhet och digital riskhantering är det i stort sett omöjligt att vara effektiv och lyckas bra om man själv behöver uppfinna hjulet inom alla områden som berörs. Som tur är finns det en hel del ramverk att stödja sig mot för att få en checklista över alla de saker som på ett eller annat sätt behöver innefattas i ett heltäckande IT säkerhetsarbete. Har du börjat försöka få struktur i ditt IT-säkerhetsarbete så har du säkert hört talas om ISO27001 eller NIST, vilket är två välkända ramverk inom detta område.

QLS väljer CIS Security Controls

På QLS har vi valt att fokusera på ett ramverk som heter CIS Security Controls och som är framtaget av organisationen Center for Internet Security.

Anledningen till att vi valt att arbeta med detta ramverk är på grund av att det är ett lite mer tekniskt ramverk som fokuserar mer på vilka tekniska kontroller och funktioner som behöver införas, och hur dessa skall konfigureras, för att uppfylla de styrdokument och policys som exempelvis ISO27001 fokuserar mycket på.

Att införa och arbeta med CIS Security Controls kräver dock inte att man först genomfört ett ISO27001 arbete, ramverket fungerar helt fristående, men flertalet punkter, eller kontroller som de kallas, länkar ihop med andra ramverk, bland annat ISO27001.

Vad är Center for Internet Security?

CIS är en oberoende, icke-vinstdrivande organisation som har som uppdrag att utveckla och validera lösningar, tillvägagångssätt och systemkonfigurationer för att hjälpa organisationer och personer att skydda sig mot de risker som en allt mer digitaliserad tillvaro medför.

CIS, eller Center for Internet Security, som förkortningen står för, ansvarar för att ta fram CIS Controls och CIS Benchmarks, som är två globalt erkända tillvägagångssätt och strukturer för att säkra IT system och digital information.

Läs mer om Center for Internet Security på deras hemsida.

Vad är CIS Critical Security Controls?

Vikten av att arbeta strukturerat och metodiskt med cybersäkerhet har blivit en förutsättning för att kunna bedriva en säker verksamhet. CIS Critical Security Controls är ett ramverk som både hjälper er med att prioritera aktiviteter, kontinuerlig mätbarhet och kopplar alla aktiviteter väl emot andra ramverk, ISO, NIST, CMMC med flera.

CIS Benchmarks

Majoriteten av dagens operativsystem och mjukvaror som finns att tillgå har en mängd tjänster, funktioner och protokoll aktiverade ifrån början som aldrig används för systemets funktionalitet, dessa innehåller en mängd sårbarheter som enkelt kan utnyttjas vid en attack.

Security Benchmarks ger oss ett tillvägagångssätt för att säkerställa att vi använder rekommenderade konfigurationer. Listan här bredvid är endast ett axplock ur de rekommenderade konfigurationer som CIS Workbench erbjuder och nya uppdaterade versioner tillkommer hela tiden i takt med att nya versioner och funktioner görs tillgängliga hos respektive tillverkare.

Klicka här för att se hela utbudet av tillgängliga rekommenderade konfigurationer (kräver registrering hos CIS)

CIS Benchmarks

Rekommenderade säkerhets-konfigurationer för mängder av system

Microsoft

Microsoft 365, Windows 11, Windows Server, IIS, Azure, Intune, mfl.

Apple

Apple IOS, Apple macOS, Safari mfl.

Google

Google Chrome, Google Android, Google Workspace, Google GKE, mfl.

Cisco

Cisco ASA, Cisco IOS, Cisco ACI, Cisco Meraki, Cisco NX-OS, mfl.

Rätt nivå för just er organisation

En av fördelarna med att använda ett vedertaget ramverk som CIS Security Controls, är att det alltid går att mäta sina framgångar och sin uppfyllnadsgrad mot de uppsatta målen.

Det är enkelt att påvisa framsteg och ger en bra checklista och prioritering över det arbete som kvarstår. Genom återkommande kontroller i sin miljö, får man en bra överblick över aktuell status, men också vad man behöver åtgärda i redan konfigurerade enheter och system på grund av nyupptäckta risker eller nytillkomna funktioner.

Att upprätthålla en hög säkerhetsnivå är ett kontinuerligt arbete och att ha full kontroll på att systemen är konfigurerade enligt vedertagen praxis är ett nödvändigt komplement. Dessutom ett bra sätt att upptäcka risker som inte framkommer i de sårbarhetsanalyser som man kontinuerligt bör utföra i sin miljö.

Vad tillför CIS controls till min verksamhet?

Sammantaget kan implementering av CIS Critical Security Controls hjälpa organisationer att etablera en stark cybersäkerhetsgrund, hantera risker effektivt, följa regelverk och kontinuerligt förbättra er cybersäkerhetsnivå.

Implementeringen av CIS Critical Security Controls är viktig av flera anledningar:

Skydd mot cyberattacker

Alla komponenter i tjänsten är anslutna till QLS egenutvecklade molnplattform. Här samlas information in, analyseras och felsöks per automatik - dygnet runt. Om ett problem uppstår skickas ett ärende direkt till vår certifierade supportpersonal.

Riskhantering

Kontrollerna prioriteras baserat på risknivån de minskar, och deras implementering kan hjälpa organisationer att hantera risker effektivt.

Efterlevnad

Kontrollerna är allmänt erkända och används av många organisationer och statliga myndigheter som en standard för cybersäkerhet. Att implementera kontrollerna kan hjälpa organisationer att uppfylla efterlevnadskrav och undvika påföljder för bristande efterlevnad.

Bästa praxis

Kontrollerna är utvecklade av cybersäkerhetsexperter från olika områden och är baserade på verkliga hot och attackmönster. Att implementera kontrollerna kan hjälpa organisationer att anta bästa praxis för cybersäkerhet.

Kontinuerlig förbättring

Kontrollerna är inte statiska och uppdateras regelbundet för att återspegla förändringar i hotbilden och de framväxande bästa praxis för cybersäkerhet. Att implementera kontrollerna kan hjälpa organisationer att hålla sig uppdaterade med de senaste säkerhetsåtgärderna.

Hur kan QLS hjälpa mig?

Det ställs allt högre regulatoriska krav på verksamheter idag, ofta behöver verksamheten kunna visa hur den arbetar med informationssäkerhet, klassificering av information, processer och rutiner, den internationellt erkända standarden för detta är ISO 27001.

Utmaningen för många organisationer är att kunna översätta de regulatoriska krav som ställs i ett sådant arbete till vad en teknisk kontroll kräver för att uppnå en viss rutin eller process.

Genom vår tekniska bakgrund och erfarenhet att implementera säkerhetslösningar i ett brett verkningsområde, allt ifrån användare & enheter, härdning, sårbarhetsanalyser, nätverkssäkerhet, utbildning utav användare med mera.

Men utöver vår tekniska bakgrund och kompetens är vi också certifierade CIS Auditors via SANS Institute – GIAC Critical Controls Certification.

Vilket gör att vi blir bryggan mellan policys och teknisk implementation.

Dags att säga hej!

Som kund hos QLS får du snabb och personlig service på nolltid. Hör av dig så hjälper vi dig och din organisation till en nätverks- och säkerhetslösning i världsklass.

QLS quality solutions AB

Address: Slakthusgatan 6, 415 02 Göteborg
Tel: +46 (31) 320 45 82
Email: [email protected]

Aktivera JavaScript i din webbläsare för att slutföra detta formulär.