En av de bästa cyberskyddsmetoderna i dagsläget är CIS 20 Critical Controls – en uppsättning gemensamma säkerhetsåtgärder skapade av Center for Internet Security. Kontrollerna minskar risker hos organisationer som använder dem med upp till 90% och skyddar från attacker mot IT-system, nätverk och användare. Vi bad Staffan Huslid, senior säkerhetsrådgivare hos oss på Knowit, att berätta mer om kontrollerna och varför organisationer ska använda dem i sitt säkerhetsarbete.
Hej Staffan! Kan du berätta om vad CIS 20 Critical Controls innebär?
Det är tjugo stycken kontroller, framtagna av cyberexperter inom CIS, som en organisation kan utföra för att se till att man tekniskt uppfyller de krav som finns i regelverk som exempelvis ISO, COBIT och framför allt NIST.
CIS 20 Critical Controls är utvecklade genom att använda reella hot och angrepp mot organisationer de här experterna är verksamma i, där deras egna erfarenheter som renommerade cyberförsvarare inom ett brett spektrum av sektorer är tillämpade. Sedan har man analyserat vilka metoder som ger bäst åtgärder, med minst insats, på de områden som har störst risker.
Bara de fem första kontrollerna bidrar
till att minska risker hos organisationer som
implementerar dem med upp till 80-90%.
Det kontrollerna främst handlar om är att identifiera otillåten hårdvara eller mjukvara, användare med högre eller priviligierade rättigheter och vilka sårbarheter som finns. Bara de fem första kontrollerna, som är grundläggande åtgärder, bidrar till att minska risker hos organisationer som implementerar dem med upp till 80-90%.
De sista kontrollerna är organisatoriska och måste fallas in i och tittas på i olika delkontroller. Man kan inte undanta utbildning och förståelse i en organisation - då kommer de tekniska kontrollerna att fallera. Intrångsförsök måste också göras för att visa en ledning att ”den här kontrollen är inte införd – därför kunde vi angripa er”.
Vilken nytta kan ett företag ha av att använda CIS 20 Critical Controls i sitt säkerhetsarbete?
Genom att använda kontrollerna får organisationer en homogen it-infrastruktur där de har kontroll på vem, vad och hur information hanteras på organisationen. En annan av de främsta nyttorna är att man får mätvärden som gör att processer kan förbättras och man kan utvärdera hur man ligger till gentemot den skala som finns. Visionen är att alla kontroller även ska vara automatiserade med en åtgärd som gör att när brister upptäcks så hanteras det automatiskt, vilket minskar risken för hot.
Inför man det här får man alltså en större förståelse för hur organisationen ser ut. Många säger exempelvis att de enbart har egna enheter i sina nätverk, men vid utvärderingar syns det ofta att det är lätt att koppla in en dator eller annan enhet som inte tillhör företaget. Det här gör att det såklart blir väldigt lätt för angripare att ta sig in i organisationen. På många organisationer används även mjukvara som inte bör finnas installerad - det kan vara att anställda till exempel installerar Dropbox, Spotify eller liknande för att få samma funktionalitet i sina datorer som i sina mobiler. Även detta medför stora läckagerisker och intrångsmöjligheter.
Har man inte säkerhetskontroller på plats riskerar man alltså att utsätta hela organisationen för enorm risk, vilket gör att implementerandet av CIS-kontrollerna bidrar till att skydda hela den fortsatta verksamheten.
Vill du läsa mer om CIS 20 Critical Controls kan du göra det här. Mer information om våra tjänster inom säkerhet finns här.