CIS-Kontroller V8: Hvad er CIS 18 og Hvordan Du Kan Bruge Det Til Awareness Træning

Center for Internet Security offentliggjorde en opdateret version af sikkerhedsforanstaltninger i 2021 kaldet CIS Controls v8. Denne version er baseret på 18 kontroller (derfor kaldet CIS 18), som kan implementeres af alle organisationer for at forbedre deres sikkerhed mod de mest almindelige it-sikkerhedstrusler.

I denne blogpost giver vi dig en generel oversigt over CIS Controls v8 og en dybere indsigt i Control 14, som kræver awareness-træning. Træningen lærer dine kolleger at tænke på sikkerhedstrusler, så de kan forsvare din organisation mod cyber-angreb. Fordi træning er vigtig (og fordi det er vores fokus hos CyberPilot), diskuterer vi primært Control 14. Vi giver dig forslag til, hvordan du kan implementere retningslinjerne for Control 14 og viser dig, hvordan vores awareness-træning opfylder alle krav.

Er CIS 18 relevant for min organisation? 

Der er mange politikker derude, og de fleste organisationer arbejder med forskellige variationer. For eksempel kan du arbejde med både GDPR og ISO 27001 eller andre rammer, der er relateret til et specifikt land eller en bestemt industri. 

CIS Controls Version 8 er en valgfri guide som organisationer kan bruge til at styrke deres sikkerhed og prioritere deres IT-investeringer. Den er populær, fordi den giver konkrete skridt, som man kan følge for at beskytte sin organisationen mod nogle af de mest almindelige sikkerhedstrusler. Faktisk overvejer mange af vores kunder allerede at anvende CIS Controls Version 8 for at sikre, at deres sikkerhed forbliver i topform. Derfor har vi udarbejdet en kort introduktion til CIS 18-rammen og hvordan den kan hjælpe dig med at opnå overholdelse af Control 14. Lad os tage et kig og se, om CIS Controls er noget, din organisation kan bruge!

CIS 18 er den nyeste version af CIS Controls 

CIS Controls Version 8 er den nyeste liste af sikkerhedsforanstaltninger offentliggjort af Center for Internet Security (CIS), en non-profit, som har udstedt verdenskendte sikkerhedsanbefalinger i over tyve år. Sammen udgør disse kontroller en liste over bedste praksis, som organisationer kan bruge til at guide deres IT-sikkerhedsarbejde ved at beskytte sig mod de mest almindelige cybertrusler, såsom phishing og malware. 

CIS Controls v8 har været offentliggjort siden 2021, og den erstattede CIS Controls v7. Den nye version giver organisationer 18 kritiske sikkerhedskontroller at arbejde med i stedet for de tyve, der var en del af CIS Controls v7. Kontrollerne og implementeringsguides er gratis at få, hvilket betyder, at alle organisationer kan bruge dem til at forbedre deres IT-sikkerhed.

Billederne viser de opdaterede 18 CIS Controls i v8 og hvordan disse nye kontroller kan sammenlignes med de 20, der var i v7.

Kilde: https://www.cisecurity.org/controls/v8 

CIS Controls v8 er lavet af 18 kontroller  

De 18 kontroller i version 8 giver dig 18 forskellige kategorier, som du kan benytte dig af. Alle 18 arbejder hen imod at opbygge et stærkt sikkerhedssystem. Hver kontrol har et overordnet mål og en liste over implementeringsguider, som CIS anbefaler for at opnå dette mål. Faktisk giver de dig en tjekliste over, hvordan du bedst kan implementere dem. Jo flere guider du implementerer på tværs af forskellige kontroller, desto stærkere bliver din sikkerhed.

Her er en liste over alle CIS 18 kontroller med et link til CIS' oversigt over hver kontrol.

• CIS Control 1: Inventory and Control of Enterprise Assets
• CIS Control 2: Inventory and Control of Software Assets
• CIS Control 3: Data Protection
• CIS Control 4: Secure Configuration of Enterprise Assets and Software
• CIS Control 5: Account Management
• CIS Control 6: Access Control Management
• CIS Control 7: Continuous Vulnerability Management
• CIS Control 8: Audit Log Management
• CIS Control 9: Email and Web Browser Protections
• CIS Control 10: Malware Defenses
• CIS Control 11: Data Recovery
• CIS Control 12: Network Infrastructure Management
• CIS Control 13: Network Monitoring and Defense
• CIS Control 14: Security Awareness and Skills Training
• CIS Control 15: Service Provider Management
• CIS Control 16: Application Software Security
• CIS Control 17: Incident Response Management
• CIS Control 18: Penetration Testing 

De 18 CIS-kontroller dækker mange aspekter af sikkerhed, lige fra sofistikerede teknologiske forsvar til intern forberedelse og planlægning. Det kan være overvældende at tackle alle kontroller på én gang. Det er derfor mere håndterbart at fokusere på én kontrol ad gangen og udarbejde en plan for, hvordan du vil implementere den specifikke kontrol. Dette kan variere afhængigt af de forskellige tjenester og eksperter i din organisation.

Vi er fuldt engageret i træning. Vi fokuserer på awareness-træning, fordi vi ved, at menneskelige fejl ofte er årsagen til de fleste IT-sikkerhedsbrud. Ved at tilbyde kontinuerlig træning og sikre, at din organisation har en stærk kultur inden for IT-sikkerhed, er det muligt at reducere risikoen for sikkerhedsbrud.

I de kommende sektioner vil vi diskutere CIS-Control 14 mere detaljeret og se på, hvad den siger om awareness-træning.

Opdag Control 14: IT-awareness og kompetence træning guideline af CIS Controls v8 

Hvis du læser oversigten over Control 14 fra CIS vil du finde krav om at have et kontinuerligt awareness-træningsprogram. 

Her er hvad kontrol 14 siger:

“Establish and maintain a security awareness program to influence behavior among the workforce to be security conscious and properly skilled to reduce cybersecurity risks to the enterprise." 

Grunden for denne control er ifølge CIS,  at der ikke er noget sikkerhedsprogram, som kan slette alle vores menneskelige sårbarheder:  

“The actions of people play a critical part in the success or failure of an enterprise’s security program. It is easier for an attacker to entice a user to click a link or open an email attachment to install malware in order to get into an enterprise, than to find a network exploit to do it directly. Users themselves, both intentionally and unintentionally, can cause incidents.” 

Selvfølgelig er det et godt mål at træne din organisation regelmæssigt i sikkerhedsrisici. Men, hvordan får du det til at ske? 

Implementeringsretningslinjerne, der leveres af CIS er et godt udgangspunkt. De giver dig ni forskellige måder du bedst kan skabe og vedligeholde en succesfuld awareness-træningsprogram. Her er de 9 anbefalinger: 

Kilde: https://www.cisecurity.org/controls/v8, CIS Controls v8 Implementation Groups

Vi dykker ned i hver af de ni anbefalinger, og giver dig konkrete skridt til, hvordan du kan opfylde hver retningslinje. 

14.1  Etabler og vedligehold et awareness-træningsprogram 

Det første skridt er at etablere og vedligeholde et træningsprogram, der er meningsfuldt for resten af dit sikkerhedstræningsprogram. Hvis du ikke allerede har et IT-sikkerhedsprogram på plads, kan det virke overvældende at komme i gang.

Der er mange beslutninger, der skal træffes, når du først har besluttet, hvordan dit træningsprogram skal se ud.

• Hvad bør din awareness træning dække, og hvordan skal du implementere det?  
• Hvordan får du awareness træning til at virke interessant, så folk rent faktisk er opmærksomme?  

• Burde din awareness træning være online, fysisk eller en kombination af begge?  

Ud over IT-sikkerhed er det også vigtigt at træne dine kolleger i IT-sikkerhed og databeskyttelseslove, der er gældende i dit land, såsom GDPR. Selvom det kan virke som meget at dække, overlapper reguleringerne ofte, fordi de arbejder hen imod det samme mål - bedre sikkerhed og databeskyttelse. Dette betyder, at det kræver lidt eftertanke at forbinde emnerne, men indholdet vil flyde problemfrit sammen.. 

Det er vigtigt at opretholde awareness-træningen, så gode digitale vaner altid er friske i hukommelsen. Vi anbefaler en læringsmetode kaldet mikro-læring, hvor lektionerne leveres i små doser over en længere periode. Dette er en naturlig måde at opretholde et træningsprogram på. Vi bruger også denne tilgang i vores eget træningsprogram, hvor vi udgiver nye kurser på 5-7 minutter hver anden måned.

14.2 Træn dine medarbejderne i at genkende social engineering-angreb. 

Social engineering angreb som phishing er den største sikkerhedstrussel organisationer står overfor i dag. Hvis vi ikke er omhyggelige og opmærksomme, kan vi nemt falde for et social engineering-angreb og kompromittere adgangskoder, bank-oplysninger eller adgang til IT-systemer. 

Derfor er det vigtigt at træne dine kolleger i at genkende sådanne angreb. Den bedste måde at lære dit team om social engineering er ved at udsætte dem for forskellige taktikker. En af de mest effektive måder at lære dine kolleger at genkende social engineering på er ved at udføre phishing-simulationer. Simulationer fungerer godt, fordi de viser dine kolleger, hvordan realistiske angreb kan se ud, så de ved præcis, hvad de skal være opmærksomme på. Simulationerne har også den fordel, at de giver dig indsigt i, hvordan dine kolleger klarer sig. Disse data giver dig en forståelse af, hvor godt dit team kan opdage social engineering-trusler og om de rapporterer dem korrekt.

Her er en guide til, hvordan du starter med phishing simulationer, her snakker vi om, hvor ofte du bør sende falske phishing mails ud, og hvilke problemer du måske oplever når du skal lære dine kollegaer omkring phishing, og hvordan du kommer over disse problemer. 

Kombinere phishing test med awareness træning og få det bedst mulige resultat  

Som en tilføjelse til praktiske phishing-tests kan det være nyttigt at give dine kolleger awareness-kurser, der lærer dem, hvordan de kan spotte phishing-mails og de mest anvendte social engineering-taktikker. På den måde vil dit team blive fortroligt med lektionerne omkring phishing-mails og kunne teste deres evner til at opdage dem under en phishing-simulation. Vores guide til at designe et træningsprogram med social engineering og phishing kurser kan give dig inspiration til forskellige emner i din træning. En anden ting som kan være en hjælpende ressource, er vores kursus specifikt omkring social engineering. 

14.3 Træn dine medarbejderne i de bedste godkendelsespraktikker  

Når dit team kender det helt basale, som hvordan man laver et stærk password og hvordan man opdager en phishing mail, så er det tid til det næste skridt. At godkende er en måde at validere en brugers identitet. For at implementere godkendelse bedst muligt råder vi dig til at lære dine medarbejdere omkring to faktor godkendelse - hvordan det virker og hvorfor de skal bruge det til deres konti. 

Vi vil også forslå, at alle organisationer skaber en kultur, hvor det er acceptabelt at skulle autorisere mails. For eksempel, hvis du modtager en mail fra en kollega, der beder om at dele et kodeord, bør du kontakte personen på en anden måde (f.eks. tale med dem eller ringe til dem) for at sikre, at anmodningen er legitim. Dette er meget vigtigt for at beskytte og forebygge mod phishing-angreb.

14.4 Træn dine medarbejdere i data håndtering  

At træne dine kolleger i korrekt håndtering af persondata er vigtigt for din organisation, både med henblik på GDPR-overholdelse, minimering af databrud og generel forbedring af IT-sikkerheden.

Håndtering af data er ofte en integreret del af de flestes jobbeskrivelse, og det er afgørende, at det bliver udført korrekt for at beskytte enkeltpersoners privatliv i tilfælde af databrud.

Her er nogle emner omkring datahåndtering, som du kan bruge til at træne dine medarbejdere:

• Hvad er personligdata 
• Hvilke love skal man følge for datahåndtering 
• Hvem skal have adgang til personligdata 
• Hvordan minimere du det data du gemmer, og hvorfor bør du 
• Hvordan du sikkert kommer af med data du ikke længere behøver 

Måske er det også relevant for dine kollegaer at kende til, hvad en Dataansvarlig Og Databehandler er. Ved at træne dit team i gode vaner inden for datahåndtering kan du minimere risikoen for databrud eller brud på GDPR.

14.5 Træn dine medarbejdere i årsager til utilsigtet datalækage 

De fleste uheld skyldes menneskelig fejl. For eksempel, kan man sende en mail med data til den forkerte person, offentlige gøre ting online uden at indse at det indeholder data, eller dele den forkerte skærm under et videomøde.  

Det kunne også ske, hvis du sidder på en café og ikke indser at personen, som sidder ved siden af dig, tydeligt kan se din skærm, som uheldigvis viser dine klienters data. Pointen er, at de fleste sikkerhedsuheld sker grundet menneskelig fejl. Og det første step til at forebygge disse fejl er ved at være bevidste om dem.  

14.6 Træn dine medarbejdere i at genkende og rapportere sikkerhedsbrud 

Vi træner vores organisation, så vi er forberedte, når et reelt brud opstår. Ved at lære din organisation at genkende potentielle brud og følge korrekte rapporteringsprocedurer sikrer du, at de er klar til at håndtere et reelt brud, hvis det skulle ske. Og igen, det er her at en kombination af awareness træning og phishing test er brugbart.  

Du bør først lære dit team om tegnene på et brud og derefter, hvad de skal gøre, hvis de mistænker et sikkerhedsbrud. Rapporteringsprocessen kunne for eksempel være: "Åbn ikke nogen links eller download nogen filer. Kontakt IT-afdelingen øjeblikkeligt og informer dine kolleger."

Efter du har lært dit team om tegnene på et sikkerhedsbrud og den korrekte rapporteringsproces, kan du teste, hvor godt de reagerer på et sikkerhedsbrud ved at udføre en phishing-simulation. Denne praktiske øvelse vil give dig indsigt i, hvad du bør fokusere på i fremtidig træning. Først vil du kunne se, hvor dygtige dit team er til at genkende sikkerhedsbrud baseret på antallet af medarbejdere, der træffer de nødvendige foranstaltninger. Derefter vil du også få en idé om, hvor godt dine kollegaer forstår rapporteringsprocessen baseret på, hvor mange der kontakter IT-afdelingen. Begge indsigter vil hjælpe dig med at identificere eventuel forvirring som du bør afklare i din fremtidige træning.

14.7 Træn dine medarbejdere i, hvordan de skal identificere og rapportere, hvis deres virksomhedsaktiver mangler sikkerhedsopdateringer 

Sikkerhedsopdateringer er noget, vi alle støder på fra tid til anden. Og fordi de ofte kræver, at vi genstarter vores udstyr for at fuldføre dem, er det fristende at udskyde dem. Problemet opstår, når du gentagne gange trykker på "Mind mig om det i morgen" -knappen i stedet for blot at installere opdateringen.

Mange mennesker undervurderer vigtigheden af disse opdateringer. Opdateringer reparerer fejl og forbedrer sikkerheden i softwaren. Derfor er det lidt som at lade dit husvindue stå åbent, mens du er på ferie, hvis du udskyder en opdatering.

Vi foreslår at lære dine kollegaer alt om sikkerhedsopdateringer, også hvorfor det er vigtigt med opdateringer, og hvor de kan se, om der er nogle opdateringer tilgængelige.  

14.8 Træn dine medarbejdere i faren ved at farerne ved at forbinde virksomhedsdata til ukendte netværk.  

At arbejde fra en café, et hotel eller i offentlig transport er ret normalt, og derfor er mange forbundet til det gratis Wi-Fi, der tilbydes på forskellige steder, uden at tænke en ekstra gang over det. Selvom gratis Wi-Fi er nemt, er det også ubeskyttet og farligt. Når Wi-Fi er ubeskyttet, kan IT-kriminelle komme på netværket og stjæle dine data eller placere malware på din enhed. Denne type situationer ville være trælse, hvis det skete for dine personlige enheder, men konsekvenserne er endnu større, hvis du bruger en enhed fra dit arbejde, da der kan være data og systemer, der sætter hele organisationen i fare. 

Derfor er det vigtigt at uddanne dit team til ikke at bruge offentligt Wi-Fi og til at bruge alternative løsninger i stedet. I stedet for at oprette forbindelse til gratis internet bør de oprette forbindelse til et mobilt hotspot. Et mobilt hotspot giver dig mulighed for at være forbundet til en enhed, f.eks. en computer, via internettet på din mobiltelefon. Da du vil være forbundet til internettet gennem din egen enhed, er dit mobile hotspot sikker. Vi dækker alle disse emner i kurset omkring at arbejde på farten.  

14.9 Gennemfør rollespecifik awareness træning og færdighedstræning

Når dit awareness-træningsprogram er på plads, og de mest basale emner er blevet dækket, kan du begynde med en mere dybdegående og rollespecifik træning. Måske det at lære noget omkring databehandler aftaler ikke er relevant for alle, men det kan være vigtigt for ledere som håndterer kontrakter med eksterne partnere. Det er også muligt, at forskellige afdelinger i din organisation bruger forskellige softwareprogrammer i deres daglige arbejde. For eksempel kan økonomiafdelingen bruge et specifikt lønsystem, som ingen andre afdelinger har berøring med, og det samme gælder for produktionsafdelingen, der måske bruger en platform, der er specifik for deres arbejde. I sådanne tilfælde kan det være hensigtsmæssigt at målrette træningen mod den software eller platform, som bruges af de forskellige afdelinger. På den måde bliver træningen relevant og unik for de specifikke trusler og programmer, som de enkelte afdelinger arbejder med.

Undersøgelser viser at det kan øge udbyttet af den information der indgår i læringen, hvis træningen er relevant til dem der tager kurset. Så indimellem bør du se på, om du kan målrette din awareness træning til de jobbeskrivelser dine kollegaer har.  

CyberPilot’s  awareness træning møder alle retningslinjerne for Control 14  

Nu hvor vi har gennemgået trin for trin, hvordan du kan tackle alle ni retningslinjer i Control 14 af CIS 18, bør du have en god idé om, hvor du skal starte med din awareness-træning. For at gøre det endnu mere klart vil vi dele, hvordan CyberPilot kan hjælpe dig med at opnå alle ni retningslinjer og hjælpe dig med at opnå compliance med Control 14.

14.1 Etabler og vedligehold et awareness træning program  

• CyberPilot's awareness-træning udgiver nye kurser hver anden måned som en tilføjelse til vores eksisterende kursuskatalog. Dette hjælper dig med at opretholde et træningsprogram, hvor dine kolleger løbende bliver opdateret om nye sikkerhedstrusler. Prøv vores kurser gratis i 14 dage her.  
• CyberPilots awarness intro kursus giver et overblik over, hvorfor cyber sikkerhed vigtigt. 

14.2 Træn dine medarbejderne i at genkende social engineering-angreb. 

• Vores awareness-træning tilbyder flere kurser om, hvordan man kan genkende forskellige typer af phishing- og social engineering-angreb. Vores kursus om phishing og social engineering giver dine kolleger en grundlæggende introduktion til disse emner.
• Du kan udvide på introkurserne til flere kurser, der går i dybden, som vores kursus om målrettet phishing. Ved at starte med det grundlæggende og derefter opdele det i flere emner, kan du vedligeholde dit træningsprogram med nyt materiale, der gradvist øger dine kollegaers viden over tid. Denne tilgang sikrer, at de fortsat opdateres og forbedrer deres forståelse af emnet.  

14.3 Træn dine medarbejderne i de bedste godkendelsespraktikker 

• Autorisation er et vigtigt lag af beskyttelse i din organisations sikkerhedsstrategi mod trusler. Der er forskellige typer af godkendelsesmetoder, der kan styrke sikkerheden. Et eksempel er to-faktor godkendelse, hvor du kan lære dine kollegaer, hvorfor det er vigtigt og hvordan de kan implementere det med vores kursus om dette specifikke emne. 
• En anden type af godkendelse er henvendt til, hvordan vi verificiere at mails er legitime og kommer fra dem vi tror de kommer fra. I vores kursus omkring, hvordan man håndtere en phishing mail går vi i dybden med, hvordan man skal godkende mails. 
  
  

14.4  Træn dine medarbejdere i data håndtering 

• Datahåndtering er vigtigt, hvis din organisation skal overholde GDPR. Når dine medarbejdere håndterer data korrekt, vil det hjælpe din organisation til at forebygge dyre databrud.  
• Vi har flere kurser, som kan træne dine medarbejdere i, hvad persondata er, og hvilke forholdsregler de burde tage, når de håndterer det. For et eksempel, har vi et kursus som dækker alle behandlingsgrundlag, og hvordan du skal beskytte persondata.  

14.5 Træn dine medarbejdere i årsager til utilsigtet datalækage 

• Ingen vil bevidst lække sensitive data. Dog sker det alligevel hele tiden - små fejl som nemt sker, hvis man ikke er opmærksom. Det er vigtigt at lære dit team, hvordan de utilsigtet kan lække data.  
• Til at hjælpe dig har CyberPilot et kursus omkring mails og persondata, fordi det at sende persondata over mail er en af de største kilder til utilsigtet databrud. Vi har også et kursus omkring sikkerhedsrisici når du er i videomøder, hvor du uheldigvis kan dele den forkerte skærm, som så deler den sensitive data til de forkerte mennesker.  

14.6 Træn dine medarbejdere i at genkende og rapportere sikkerhedsbrud 

• Siden dine kollegaer er dit største forsvar imod sikkerhedsbrud, er det vigtigt, at de ved, hvordan de kan genkende og korrekt rapportere potentielle sikkerhedstrusler. Vores kursus på direktørsvindel kan gøre, at dit team er opmærksomme på sikkerhedstrusler, imens vores kursus omkring, hvordan du håndtere en phishing mail vil give dig konkrete tips til, hvordan du skal håndtere, det at være udsat for en sikkerhedsbrud.  
• Hvis du vil træne dine medarbejdere i at rapportere sikkerhedsbrud og teste deres parathed, råder vi dig til at sende simuleret phishing mails ud igennem en phishing træningsprogram. Det vil give dit team en mulighed til at bruge alt det de har lært igennem et træningskursus.  

14.7 Træn dine medarbejdere i, hvordan de skal identificere og rapportere, hvis deres virksomhedsaktiver mangler sikkerhedsopdateringer 

• Opdateringer er ofte en overset del af IT sikkerhed, men det burde det ikke være! Ved at installere opdatering på din enhed, når de bliver tilgængelige, vil dække de huller, der kan opstå i ens sikkerhed og gøre dem mindre sårbare overfor angreb.  
• Til at træne dine kollegaer omkring vigtigheden af at installere opdateringen, har vi et kursus omkring opdateringer. Vi dækker også opdateringer sammen med andre emner i vores kursus omkring at beskytte din arbejdscomputer.  

14.8 Træn dine medarbejdere i faren ved at farerne ved at forbinde virksomhedsdata til ukendte netværk. 

• Usikre netværk er noget, som vi alle bør være forsigtige med, især da mange af os arbejder fra caféer, hoteller eller bruger offentlig transport. Desværre er faren ved at tilslutte sig et offentligt eller usikkert netværk ikke velkendt for mange, hvilket kan medføre betydelige sikkerhedsrisici.
• Med CyberPilots awareness-træning, har vi flere kurser som vil forberede dine kollegaer til at have gode digitale vaner når du arbejder et andet sted end på kontoret eller der hjemme. For et eksempel har vi et kursus omkring sikker surfing på nettet og et andet kursus omkring at arbejde ude af huset. De kurser vil lære dine kollegaer at tænkte en gang ekstra når de bruger offentlig Wi-Fi. 

14.9 Gennemfør rollespecifik awareness træning og færdighedstræning 

• Med awareness træning fra CyberPilot kan du sende kursus til specifikke hold eller personer – det er brugbart når der er et emne som du vil have et specifikt hold til at genopfriske eller have mere detaljeret informationer omkring.  
• Du kan også lave dine egne kurser igennem vores platform. Ved at skræddersy dine kurser, kan du dække specifikke emner som passer til de opgaver og redskaber i bruger i din organisation.  

Det var det. Forhåbentlig har du fået et godt indblik i, hvordan CyberPilot kan hjælpe dig med at overholde alle dele af Control 14 i CIS Controls v8. Vi har dækket det hele med alle de kurser, vi har nævnt tidligere, og mange flere. Og med nye kurser hver anden måned kan du være sikker på, at din awareness træning vil holde dit team opmærksomt og sikkert. 

CIS Controls v8 er en af de mange cyber sikkerhedsrammer du kan bruge 

Der er mange forskellige sikkerhedsrammer du kan arbejde med, og CIS Controls v8 er bare én af dem. Nogle andre rammer er GDPR, ISAE 3000, ISAE 3402, ISO 27001 og NIS2. Vi vil ikke komme ind på dem alle her, men i det her blogpost har vi gennemgået de mest almindelige IT-sikkerhedspolitikker og rammer, og hvilke af dem, der kræver awareness-træning.  

Den ramme du skal arbejde med, afhænger af, hvilken industri, lokation og hvilken type af forretning du har. Mange rammer overlapper hinanden og hjælper dig imod at opnå GDPR compliance.  

Hvis du er nysgerrig omkring mere information har denne side information om, hvordan CIS Controls hjælper dig med at overholde andre sikkerhedsrammer, herunder GDPR, NIST og ISO 27001.

Awareness træning hjælper dig med at møde CIS18 standarder, imens du kan forbedre din generelle sikkerhed. 

Den opdateret CIS Controls demonstrere, hvor vigtigt det er at træne din organisation i IT-sikkerhed. Kontinuerlig awareness træning er et krav i CIS Controls v8 og andre sikkerhedsreguleringer, som GDPR. Det er krævet fordi det virker! Cyberpilots awareness træning og phishing test er to måder at møde kravene på og forberede din organisation på de mest almindelige sikkerhedstrusler. Hvis du er interesseret i at lære mere omkring, hvordan vi kan samarbejde i at støtte din organisations cyber sikkerhed, så kontakt vores team her.