Globeteam
Parathedsvurdering med CSF-standarden
En parathedsvurdering giver et overblik over organisationens modenhed
I takt med at samfundet i stigende grad digitaliseres, samtidigt med at truslen fra cyberkriminalitet øges, er de klassiske sikkerhedsforanstaltninger som Firewall og Antivirus ikke længere tilstrækkelige for at beskytte organisationer mod de trusler, som de står overfor. Det er efterhånden mere blevet et spørgsmål om, hvornår man rammes af et cyberangreb, end om man bliver ramt.
National Institute of Standards and Technology’s CSF-standard er et forsøg på at give organisationer et overblik over, hvor parate de er til at modstå fremtidige trusler og risici, samt hvor godt organisationerne er klædt på til at håndtere disse udfordringer. Globeteam bruger denne standard, når vi laver parathedsvurdering, fx i forbindelse med NIS2.
Standarden sætter fokus på de sikkerhedsevner, der skal medvirke til at opfange og håndtere it-hændelser og efterfølgende genskabe it-miljøet med mindst mulig negativ konsekvens for forretningen. Dette stiller krav til organisatoriske processer og it-miljø samt træning af den enkelte medarbejder, hvilket Globeteams mere end 50 sikkerhedskonsulenter kan hjælpe jer med.
CSF-standardens 5 områder
Organisationens modenhed baseres på spørgsmål fra CSF-standarden (Cybersecurity Framework). Dette kan bruges som baseline for organisationens ledelse til at definere mål for, hvilket modenhedsniveau man som organisation skal stræbe efter at opnå på sigt.
CSF-standarden arbejder med fem områder, som ses i figuren til venstre.
I eksemplet nedenfor har organisationen samlet set en middel modenhed (2,3 ud af 5), når det kommer til at organisere, styre og opretholde cyber- og informationssikkerheden. Dette gennemsnit dækker dog over en del varians i forhold til forskellige evner inden for sikkerhed.
Modenhedsniveauer i CSF-standarden
Modenheden (eller paratheden) findes ved at besvare en række udvalgte spørgsmål fra CSF-standarden og kommer til udtryk med en værdi, som beskriver modenhedsniveauet i organisationen:
Modenhed 1: Begyndende
Organisationen har ingen eller få risikohåndterings-processer og arbejder meget lidt med cyber- og informationssikkerhed.
Modenhed 2: Delvis
Organisationens risikohåndterings-processer inden for informationssikkerhed er ikke formaliserede, og risiko håndteres ad hoc.
Modenhed 3: Gentagende
Der er etableret en metode til risikohåndtering, som er udbredt i organisationen og godkendt af ledelsen, men ikke er forankret gennem dækkende politikker.
Modenhed 4: Styret
Organisationens risikohåndtering er ledelsesgodkendt og forankret gennem dækkende politikker. Praksis opdateres regelmæssigt på baggrund af ændringer i forretningskrav og -miljø.
Modenhed 5: Optimeret
Organisationen optimerer løbende implementerede processer eller godkendte politiker på baggrund af aktiviteter og erfaringer. Gennem en vedvarende forbedringsproces tilpasser organisationen sig aktivt til ændringer i trussels- og teknologilandskabet.
Det samlede modenhedsniveau for en organisation er med til at definere sårbarhedsniveauet. Det betyder konkret, at jo lavere en organisations modenhed inden for cyber- og informationssikkerhed er, jo højere er sandsynligheden for, at risici indtræffer.
Eksempel på modenhed
Organisationens modenhed på de fem områder fra NIST’s CSF-standard er målt til følgende:
Identify:
Evnen til at identificere risici relateret til mennesker, systemer, aktiver og data.
Her har organisationen en høj modenhed (3,79 ud af 5).
Protect:
Evnen til at beskytte kritiske processer gennem sikringstiltag.
Organisationen har her en middel modenhed (2,82 ud af 5).
Detect:
Evnen til at opdage sikkerhedshændelser gennem målrettede aktiviteter.
Her har Organisationen en lav modenhed (1,13 ud af 5).
Respond:
Evnen til effektivt at kunne håndtere identificerede sikkerhedshændelser.
Her har Organisationen en middel modenhed (2,11 ud af 5).
Recover:
Evnen til at genskabe driften i tilfælde af en indtruffet hændelse og til løbende at mitigere sårbarheder.
Organisationen har her en lav modenhed (1,83 ud af 5).
På baggrund af de aktuelle besvarelser og modenhedsniveauet, afdækker Globeteam anbefalinger til at øge organisationens modenhed inden for CSF-standardens 5 kategorier: Identificer – Beskyt – Opdag – Besvar – Gendan.
Mere end 50 sikkerhedseksperter
Det er vigtigt for alle organisationer at kende egen modenhed inden for cyber- og informationssikkerhed, således at arbejdet med sikkerhed vælges ud fra organisationens modenhed.
Hos Globeteam er vi mere end 50 sikkerhedseksperter, der kan hjælpe med at gennemføre en parathedsvurdering (modenhedsanalyse) i jeres organisation. Derved undgår I at forsøge at håndtere sikkerheden på et niveau, som kræver en højere modenhed, da sådanne forsøg næsten altid fejler.
Kan jeg hjælpe ?
Har du brug for hjælp til NIS2, compliance eller spørgsmål til vores parathedsvurdering / modenhedsanalyse, er du velkommen til at kontakte mig på tlf. +45 2680 1415 eller lil@globeteam.com
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler