CIS18 ReView

Kort om CIS18 ReView

Med udgangspunkt i CIS18, som er et cybersikkerheds-rammeværktøj i stil med de velkendte ISO27xxx og NIST rammeværktøjer, foretager vi en all-round vurdering af både jeres organisatoriske (hvem gør hvad?) og tekniske (hvordan gør vi det?) sikkerhedsværn, med det formål at afdække styrker og svagheder. Dette produkt indeholder både interviews og tekniske tests med fokus på, hvor I kan øge jeres modstandsdygtighed, og vil ende ud i en rapport med prioriterede anbefalinger for den umiddelbare nære fremtid, samt et Excel-ark med overblik over jeres nuværende status i forhold til overholdelse af CIS18 kontrollerne, som I selv kan arbejde videre med og opdatere løbende i takt med jeres progression. Hvilke tekniske tests der bliver udført, er individuelt fra kunde til kunde – vi tager typisk udgangspunkt i resultaterne fra interviews samt eventuelle præferencer og input fra jer. 
CIS18 er delt op i tre IG’s (implementation groups), hvor IG1 er det vi i branchen kalder for ”basal cyberhygiejne” og typisk er det IG1 der gennemgås, medmindre andet er aftalt. 
Bemærk at dette er et produkt som, specielt i de første to dage til interview, kræver en del aktiv medvirken fra jeres interne ressourcer – mere om dette i ”Sådan foregår en CIS18 ReView”.
Eksempler på emner vi kommer til at berøre er: Logging, Adgangskontrol, Sårbarhedsadministration, Adgangsstyring, Awareness m.v.

Sådan foregår et CIS18 ReView 

ReTest Security konsulenten sender i god tid inden start på opgaven en mail med spørgsmål, samt diverse materialer til forberedelse inden start, så tiden kan bruges så effektivt som muligt. Dette skal herudover også hjælpe virksomheden med at se hvilke interne ressourcer, der skal være til rådighed til de to første interview-dage.  

Opgaven struktureres normalt således: 

• Dag 1-2: Interview hvor spørgsmålene i den/de aftalte CIS18 IG’s gennemgås og Excel-ark udfyldes.
• Dag 2-4: Tekniske tests af de emner der i løbet af interviews er aftalt at have fokus på eller som virksomheden gerne vil have en mere dybdegående undersøgelse af. Eksempler på to typiske fokuspunkter er: Active Directory (kontostyring, adgangskontrol, konfigurationer m.v) eller patch management/sårbarheder i infrastrukturen.
• Dag 5: Konsulenten analyserer data og udarbejder rapporten.

Hvor ofte udføres et CIS18 ReView?

Det er de færreste der har en god modenhed ved første gennemgang op imod CIS kontrollerne. Derfor kan det være en fin idé at foretage et CIS18 ReView en gang om året, eller hvis der har været større ændringer i egen infrastruktur og/eller større ændringer i form af service providers (hvem gør hvad?).  
Har man som virksomhed fået udarbejdet en CIS18 IG1 ReView og langt hen ad vejen kommet i mål med det, så er det selvfølgelig også en god idé at gå igennem øvelsen igen, hvis man sigter efter IG2 eller IG3 for at sikre sig at man som virksomhed er klar til det.  

Næste skridt

For dem som allerede har arbejdet med IG1/2, men som grundet udvidelse, krav fra partnere/myndigheder eller lignende gerne vil videre med IG 2/3, vil fremgangsmåden være en smule anderledes. Her vil vi starte med sammen at kigge på det arbejde virksomheden har gjort med IG1/2 som en indledende scoping. Hvor langt er I i mål, hvilke fremtidige projekter har I (og ressourcer til disse projekter) samt hvilken type virksomhed er I?  

Dette vil ReTest konsulenten benytte, samt data fra interview-delen, til at udvælge de tekniske tests og til at udarbejde rapporten, således at fokus er det rette sted – netop at få udvidet compliance niveauet mod CIS18 kontrollerne.  

Rapportering

Udover det Excel-ark der udfyldes i løbet af interview-dagene, som I selvfølgelig får til at opdatere ændringer i, munder arbejdet også ud i en rapport. Denne rapport indeholder blandt andet:

• Et ledelsresumé der i ikke-tekniske termer kort beskriver jeres aktuelle it-sikkerhedsniveau generelt og i forhold til CIS18 specifikt.
• Kort gennemgang af hver af de kontroller der er gennemgået og overholdensen af kontrollerne. Her beskriver konsulenten kort styrker og svagheder i forhold til overholdensen af hver enkel kontrol, med baggrund i data fra både interview og tekniske tests.
• Gennemgang af tekniske tests, findings og værktøjer der er brugt.
• Konklusion
• Option – Roadmap med anbefalede tekniske og organisatoriske projekter/implementeringer, prioriteret og udvalgt af konsulenten på baggrund af data fra interview og tekniske tests.

Alt efter hvad interview og tekniske tests be- eller afkræfter, vil konsulenten typisk også sende diverse ekstra-materialer med til fremtidig brug. Dette kan fx være action cards til incidence response, skabelon til medarbejdere til rapportering af hændelser, best cybersecurity practices til medarbejdere osv. Disse medsendte ekstra materialer er til fri brug for kunden.