CIS Controls
CIS Controls
Stap voor stap naar een veilige (online) omgeving
Veel bedrijven worstelen hedendaags nog met hun security. Ze willen weten hoe ze ervoor staan en wat ze kunnen doen om hun cyber security naar een hoger niveau te tillen. Met deze vraagstukken is NFIR aan de slag gegaan, we hebben een tool ontwikkeld die niet alleen kijkt naar de huidige status van de cyber security, maar die u ook helpt om stappen te formuleren die u moet nemen om uw cyber security naar een hoger niveau te kunnen tillen.
Uw huidige status
De eerste stap is een inventarisatie van wat de als organisatie al doet en wat er ontbreekt. Dit toetsen wij aan de hand van CIS, het Center for Internet Security. CIS is een door de gemeenschap gedreven non-profitorganisatie, verantwoordelijk voor de CIS Controls en CIS Benchmarks, wereldwijd erkende best practices voor het beveiligen van IT-systemen en gegevens.
De eerste stappen zetten
Als u eenmaal weet waar u staat, begint het traject eigenlijk pas. Om uw cyber security naar een hoger niveau te krijgen en potentiële bedreigingen te elimineren, is het van belang om te weten welke stappen u moet zetten. De tool van NFIR helpt u bij het maken van een stappenplan, zodat het voor u overzichtelijk wordt wat u kunt doen.
-
Fase 1: Inventarisatie en assessment
Op basis van beschikbare informatie en interviews krijgen we inzicht in het huidige beleid en reeds genomen maatregelen.
-
Fase 2: Vastleggen van het securitybeleid
Met onze tool bepalen we waar u nu staat, wat uw organisatie al aan securitymaatregelen heeft genomen en wat er nog ontbreek. Hierin wordt er gemeten tegen een gemiddelde van de industrie waarin u zich bevindt.
-
Fase 3: Analyse en prioritering van nog te nemen maatregelen
Onze tool bepaald een stappenplan voor uw organisatie om direct aan de slag te kunnen. De berekening van dit stappenplan houdt rekening met allerlei factoren, zoals kosten, complexiteit maar ook het normenkader van ISO en securitymaatregelen.
-
Fase 4: Rapportage, overdracht en oplevering CSAT tool
U ontvangt een rapportage met de belangrijkste bevindingen van dit adviestraject. Vervolgens wordt de tool overgedragen aan uw organisatie, zodat u deze zelf in gebruik kunt nemen. U krijgt een eigen CSAT-omgeving zodat u ook uw voortgang kunt bijhouden en inzichtelijk hebt wat de te nemen stappen zijn in de juiste volgorde.
Een bedrijfssepecifieke security-roadmap
De lijst die gegenereerd wordt door onze tool, kan gezien worden als een securitybeleid-roadmap. Omdat de tool rekening houdt met uw huidige status en waar u naartoe wilt, is deze roadmap uniek en speciaal voor uw organisatie toepasbaar. De tool wordt vervolgens aan u overgedragen, zo kunt u direct aan de slag met het advies. Het is ook mogelijk om de stappen die u zet, bij te houden in de tool. Zo kunt u gemakkelijk laten zien waar u staat, welke stappen u nog moet zetten en waar u naartoe wilt.
CIS Controls en CIS Benchmarks
Is CSAT te gebruiken voor ISO 27001, NEN 7510
CSAT zorgt ervoor dat u meer in control komt op het totale securitybeleid, hierdoor kunt u refereren naar CSAT vanuit ISMS. Er is een mapping aanwezig tussen de CIS Controls en de ISO 27001.
Wat krijgt de organisatie na het adviestraject?
NFIR maakt een rapport met daarin de gewogen lijst met aanbevelingen, een voorgestelde roadmap. Daarnaast krijgt u standaard 2 jaar toegang tot de online omgeving om de voortgang bij te houden. Tijdens deze 2 jaar maken we nog 2 afspraken om te kijken hoe het gaat en eventuele vragen te beantwoorden.
Welk framework wordt er gebruikt?
NFIR is al jaren partner van CIS, daarom gebruiken we CIS Controls v8 om de tool te kunnen invullen.
Op basis waarvan ontwikkelt NFIR haar monitoringsdienst?
De security-monitoring specialisten van NFIR zijn elke week bezig met de ontwikkeling van het Insights platform. Zij verwerken de informatie afkomstig van apparaten in uw netwerk en analyseren deze met behulp van machinelearning en beproefde detectieregels.
Hoe lang duurt dit adviestraject?
Standaard gaan we uit van een aantal sessies op locatie die ingepland kunnen worden in overleg. Daarna is er nog ongeveer 4 weken nodig om het rapport te maken.
We doen zelf al heel veel aan security, is dit wel iets voor ons?
In de meeste gevallen wel. Security is zo’n uitgebreid vakgebied dat door gebruik te maken van een internationaal erkend framework, er een duidelijker beeld komt over hoe goed u het echt doet. Zo krijgt u inzichtelijk of u alle facetten van cyber security heeft gecoverd, waar eventuele zwaktes zijn en hoe u die kunt versterken.