CIS18 ReView
GAP-analyse og ReView
Få et overblik over jeres nuværende modstandsdygtighed over for et cyberangreb; både på det tekniske og organisatoriske plan ved at lære jeres egen infrastruktur, organisation/arbejdsgange og service providers at kende.
Fordele ved CIS18 ReView
- Få skabt størst mulig positiv impact på kortest mulig tid med CIS18 IG1
- CIS18 er en god stepping stone til videre arbejde med fx ISO27xxx og NIS2.
- Det er ikke ”kun” interview-baseret. Vi foretager tekniske tests med det formål at underbygge samt be- og afkræfte eventuelle mangler og styrker
Kort om CIS18 ReView
Med udgangspunkt i CIS18, som er et cybersikkerheds-rammeværktøj i stil med de velkendte ISO27xxx og NIST rammeværktøjer, foretager vi en all-round vurdering af både jeres organisatoriske (hvem gør hvad?) og tekniske (hvordan gør vi det?) sikkerhedsværn, med det formål at afdække styrker og svagheder. Dette produkt indeholder både interviews og tekniske tests med fokus på, hvor I kan øge jeres modstandsdygtighed, og vil ende ud i en rapport med prioriterede anbefalinger for den umiddelbare nære fremtid, samt et Excel-ark med overblik over jeres nuværende status i forhold til overholdelse af CIS18 kontrollerne, som I selv kan arbejde videre med og opdatere løbende i takt med jeres progression. Hvilke tekniske tests der bliver udført, er individuelt fra kunde til kunde – vi tager typisk udgangspunkt i resultaterne fra interviews samt eventuelle præferencer og input fra jer.
CIS18 er delt op i tre IG’s (implementation groups), hvor IG1 er det vi i branchen kalder for ”basal cyberhygiejne” og typisk er det IG1 der gennemgås, medmindre andet er aftalt.
Bemærk at dette er et produkt som, specielt i de første to dage til interview, kræver en del aktiv medvirken fra jeres interne ressourcer – mere om dette i ”Sådan foregår en CIS18 ReView”.
Eksempler på emner vi kommer til at berøre er: Logging, Adgangskontrol, Sårbarhedsadministration, Adgangsstyring, Awareness m.v.
Sådan foregår et CIS18 ReView
ReTest Security konsulenten sender i god tid inden start på opgaven en mail med spørgsmål, samt diverse materialer til forberedelse inden start, så tiden kan bruges så effektivt som muligt. Dette skal herudover også hjælpe virksomheden med at se hvilke interne ressourcer, der skal være til rådighed til de to første interview-dage.
Opgaven struktureres normalt således:
- Dag 1-2: Interview hvor spørgsmålene i den/de aftalte CIS18 IG’s gennemgås og Excel-ark udfyldes.
- Dag 2-4: Tekniske tests af de emner der i løbet af interviews er aftalt at have fokus på eller som virksomheden gerne vil have en mere dybdegående undersøgelse af. Eksempler på to typiske fokuspunkter er: Active Directory (kontostyring, adgangskontrol, konfigurationer m.v) eller patch management/sårbarheder i infrastrukturen.
- Dag 5: Konsulenten analyserer data og udarbejder rapporten.
Hvor ofte udføres et CIS18 ReView?
Det er de færreste der har en god modenhed ved første gennemgang op imod CIS kontrollerne. Derfor kan det være en fin idé at foretage et CIS18 ReView en gang om året, eller hvis der har været større ændringer i egen infrastruktur og/eller større ændringer i form af service providers (hvem gør hvad?).
Har man som virksomhed fået udarbejdet en CIS18 IG1 ReView og langt hen ad vejen kommet i mål med det, så er det selvfølgelig også en god idé at gå igennem øvelsen igen, hvis man sigter efter IG2 eller IG3 for at sikre sig at man som virksomhed er klar til det.
Næste skridt
For dem som allerede har arbejdet med IG1/2, men som grundet udvidelse, krav fra partnere/myndigheder eller lignende gerne vil videre med IG 2/3, vil fremgangsmåden være en smule anderledes. Her vil vi starte med sammen at kigge på det arbejde virksomheden har gjort med IG1/2 som en indledende scoping. Hvor langt er I i mål, hvilke fremtidige projekter har I (og ressourcer til disse projekter) samt hvilken type virksomhed er I?
Dette vil ReTest konsulenten benytte, samt data fra interview-delen, til at udvælge de tekniske tests og til at udarbejde rapporten, således at fokus er det rette sted – netop at få udvidet compliance niveauet mod CIS18 kontrollerne.
Rapportering
Udover det Excel-ark der udfyldes i løbet af interview-dagene, som I selvfølgelig får til at opdatere ændringer i, munder arbejdet også ud i en rapport. Denne rapport indeholder blandt andet:
- Et ledelsresumé der i ikke-tekniske termer kort beskriver jeres aktuelle it-sikkerhedsniveau generelt og i forhold til CIS18 specifikt.
- Kort gennemgang af hver af de kontroller der er gennemgået og overholdensen af kontrollerne. Her beskriver konsulenten kort styrker og svagheder i forhold til overholdensen af hver enkel kontrol, med baggrund i data fra både interview og tekniske tests.
- Gennemgang af tekniske tests, findings og værktøjer der er brugt.
- Konklusion
- Option – Roadmap med anbefalede tekniske og organisatoriske projekter/implementeringer, prioriteret og udvalgt af konsulenten på baggrund af data fra interview og tekniske tests.
Alt efter hvad interview og tekniske tests be- eller afkræfter, vil konsulenten typisk også sende diverse ekstra-materialer med til fremtidig brug. Dette kan fx være action cards til incidence response, skabelon til medarbejdere til rapportering af hændelser, best cybersecurity practices til medarbejdere osv. Disse medsendte ekstra materialer er til fri brug for kunden.
Jeg vil gerne ringes op
Benyt kontaktformularen, og vi vil ringe dig op inden for 12 timer.