Som virksomhed skal I forholde jer til eksisterende og kommende love, vejledninger og andre krav om it-sikkerhed. I skal således blandt andet være forberedt på cyberangreb. I HAR måske allerede været ramt af succesfulde angreb, så I ved, hvad det vil sige. Forsikringen stiller ofte også krav om sikker it. Alt i alt kan man sige, at presset kommer fra mange sider, men det peger basalt set samme sted hen: Hvordan skal man som it-ansvarlig i en stor eller mindre virksomhed finde rundt i, hvad sikker it er for en størrelse? Og hvad er godt nok, så vi efterlever reglerne, og så vi passer på vores data? Spørgsmål, der bl.a. trænger sig på, er eksempelvis:
- Hvor sikre er vi?
- Har vi nu fået alle områder dækket af?
- Vi har et begrænset budget: Hvordan får vi mest sikkerhed for vores penge?
- Hvordan prioriterer vi vores indsats?
Og så er der virksomhedens ledelse, der kan drages til ansvar, hvis ikke der er styr på tingene, og som derfor også presser på for at få svar på den reelle risiko, de står over for: Holder forsvarsværket, hvis og når angrebet kommer? Kan vi holde til, at de trænger inden for murene?
Skal din virksomhed leve op til specifikke regelsæt fx GDPR eller anden lovgivning, er der 4 ting, som du skal være i stand til;
- Løbende vurdering af implementeret sikkerhed
- Implementere og justere it-sikkerhed
- Dokumentere
- Rapportere
Med en CIS Controls analyse får du pkt. 1, 3 og 4, og dermed er du allerede kommet rigtig langt. Du har et overblik over tingenes tilstand, du får de overordnede ledelsesrapporter automatisk genereret og kan derfor komme med kvalificerede svar på, hvordan virksomhedens it-sikkerhed er i relation til andre sammenligelige virksomheder. Jeres it-revisor vil også klappe i sine små hænder, og I kommer proaktivt it-revisorens spørgsmål i forkøbet.
Pkt. 2, som omhandler implementering og justering af it-sikkerhed, kræver derimod specialistviden. Der skal således tolkes på analysens output, før du sidder med det roadmap, der hjælper dig med på baggrund af de aktuelle risici at prioritere tilgængelig økonomi og ressourcer samt give dig en tidsplan. Måske du selv besidder kompetencen til dette, ellers kan Unitas hjælpe dig.
Unitas ønsker, at alle virksomheder står stærkest muligt i kampen mod cyberangreb. Uanset om du ønsker vores assistance eller ej, kan vi kun anbefale, at du går i gang med CIS Controls-analysen, og på den måde får du blotlagt virksomhedens sårbarheder og får lagt en plan for at styrke forsvaret.
Slutresultatet af analysen er bl.a. denne prioriterede liste af opgaver. Det bliver derfor meget tydeligt, hvor de lavthængende frugter befinder sig ud fra princippet om mest mulig sikkerhed for færrest penge eller ressourcer.
Hvis du ønsker en kopi af en anonymiseret rapport, kan du klikke her. Undlad at ændre noget i emnefeltet – blot klik ‘Send’, så kommer rapporten retur til dig automatisk. Vi bruger din e-mail adresse til nul og niks, så du behøver ikke frygte at blive rendt på dørene.
Du kan læse mere om Unitas’ CIS Controls analyse her.
Lidt om CISecurity
CISecurity er en helt uvildig som organisation, der har til formål at hjælpe med at sikre virksomheder mod cyberangreb ved at stille en række værktøjer til rådighed. Ét blandt mange er CIS Controls.
Som en engangsforestilling er værktøjet gratis at benytte for en lang række organisationer og virksomheder. Hvis man finder værktøjet værdifuldt, kan man købe en licens eller benytte en partner som Unitas, der har en service-licens, og du slipper dermed for selv at anskaffe en licens.