CIS Controls V8: CIS 18 och hur man använder det i medvetenhetsträning

Center for Internet Security släppte en uppdaterad version av säkerhetsåtgärder 2021, kallad CIS Controls v8. Den består av 18 controls, d.v.s. kontroller, (därför kallas den också CIS 18), som kan implementeras av alla organisationer för att öka deras säkerhet mot de vanligaste hoten mot cybersäkerheten.

I det här blogginlägget ger vi dig en allmän översikt över CIS Controls v8 med en djupdykning i kontroll 14, som kräver utbildning i säkerhetsmedvetenhet. Kontinuerlig utbildning i säkerhetsmedvetenhet är det bästa sättet att skapa en stark säkerhetskultur. Det lär dina kollegor om säkerhetshot så att de kan försvara din organisation mot cyberattacker. Eftersom utbildning är så viktigt (och det är vårt fokus här på CyberPilot) kommer vi främst diskutera kontroll 14. Vi ger förslag på hur du kan genomföra alla riktlinjer för kontroll 14 och visar hur vår utbildning i säkerhetsmedvetenhet och nätfiske uppfyller alla krav/ är det perfekta hjälpmedlet.  

Vad betyder CIS 18 och är det relevant för min organisation? 

Det finns många ramverk och policys för cybersäkerhet och de flesta organisationer arbetar med några olika varianter. Du kanske till exempel arbetar med både GDPR och ISO 27001 eller andra ramverk som är relaterade till specifika länder och branscher.   

CIS Controls Version 8 fungerar som en guide för bästa praxis som vissa organisationer använder för att stärka sin säkerhet och prioritera sina IT-investeringar. Den är populär eftersom den ger dig handlingsbara åtgärder att vidta för att skydda din organisation från några av de vanligaste hoten mot cybersäkerheten. Faktum är att många av våra kunder redan använder eller överväger att använda CIS Controls v8 för att hålla sin säkerhet i toppform. Så vi har gjort en kort introduktion till CIS 18-ramverket och hur vi kan hjälpa dig att uppnå kontroll 14. Läs vidare och se om CIS Controls kan vara något för din organisation att använda! 

CIS 18 är den senaste versionen av CIS Controls 

CIS Controls Version 8 är den senaste listan på säkerhetsåtgärder som publicerats av Center for Internet Security (CIS), en ideell organisation som har utfärdat världsberömda säkerhetsrekommendationer i över tjugo år. Kontrollerna på den nya listan utgör bästa praxis och organisationer kan använda dem för att vägleda sitt IT-säkerhetsarbete för att skydda sig mot de vanligaste hoten inom cybersäkerhet, som nätfiske och malware.   

CIS Controls v8 har funnits sedan 2021 och ersatte CIS Controls v7. Den nyare versionen ger organisationer 18 kritiska säkerhetskontroller att arbeta med i stället för de 20 som ingick i CIS Controls version 7. Kontrollerna och riktlinjerna för genomförande är gratis att få tillgång till, så alla organisationer kan använda dem för att förbättra sin cybersäkerhet.   

Bilden nedan visar de uppdaterade 18 CIS-kontrollerna i version 8 och hur dessa nya kontroller står sig mot de 20 kontrollerna i version 7. 

Källa: https://www.cisecurity.org/controls/v8 

CIS Controls v8 består av 18 kontroller 

De 18 kontrollerna i Version 8 ger dig 18 olika kategorier av åtgärder som i sin helhet visar vägen till ett starkt säkerhetssystem. Varje kontroll har ett övergripande mål med en lista över riktlinjer som CIS rekommenderar för att nå detta mål. Riktlinjerna ger dig i princip en checklista med bästa praxis som hjälper dig att uppnå kontrollens övergripande mål. Ju fler riktlinjer du tillämpar för de olika kontrollerna, desto starkare blir din säkerhet. 

Här under har vi listat och länkat till var och en av de 18 kontrollerna från CIS: 

• CIS Control 1: Inventory and Control of Enterprise Assets
• CIS Control 2: Inventory and Control of Software Assets
• CIS Control 3: Data Protection
• CIS Control 4: Secure Configuration of Enterprise Assets and Software
• CIS Control 5: Account Management
• CIS Control 6: Access Control Management
• CIS Control 7: Continuous Vulnerability Management
• CIS Control 8: Audit Log Management
• CIS Control 9: Email and Web Browser Protections
• CIS Control 10: Malware Defenses
• CIS Control 11: Data Recovery
• CIS Control 12: Network Infrastructure Management
• CIS Control 13: Network Monitoring and Defense
• CIS Control 14: Security Awareness and Skills Training
• CIS Control 15: Service Provider Management
• CIS Control 16: Application Software Security
• CIS Control 17: Incident Response Management
• CIS Control 18: Penetration Testing 

Eftersom de 18 CIS-kontrollerna täcker så många olika delar av en organisations säkerhet, allt från sofistikerade tekniska försvar till interna förberedelser och planering, är det svårt att ta itu med alla kontroller på en gång. Det är mindre överväldigande att fokusera på en kontroll i taget och skapa en plan för hur ni ska arbeta för att genomföra just den kontrollen. Du kommer förmodligen att upptäcka att du kommer att förlita dig på olika tjänster och experter i ditt arbete för att uppnå olika kontroller. 

Här på CyberPilot handlar allt om utbildning. Vi fokuserar på utbildning i säkerhetsmedvetenhet eftersom vi vet att mänskliga fel ligger bakom de flesta IT-säkerhetsincidenter. Vi vet också att genom att tillhandahålla kontinuerlig utbildning och främja en stark säkerhetskultur är det möjligt att minska risken för säkerhetsöverträdelser inom din organisation.   

Så i de kommande avsnitten kommer vi att presentera CIS Control 14 och diskutera vad den säger om utbildning i säkerhetsmedvetenhet. 

Kartläggning av kontroll 14: Riktlinjerna för utbildning i säkerhetsmedvetenhet i CIS Controls v8 

Om du läser sammanfattningen över kontroll 14 som CIS tillhandahåller, kommer du att hitta ett vagt krav på att ha ett kontinuerligt utbildningsprogram för säkerhetsmedvetenhet. Här är vad som står I kontroll 14:   

“Upprätta och upprätthålla ett utbildningsprogram för säkerhetsmedvetenhet för att påverka beteendet hos personalen så att de blir säkerhetsmedvetna och har rätt kompetens för att minska cybersäkerhetsriskerna för företaget." 

Enligt CIS behövs denna kontroll eftersom det inte finns något säkerhetsprogram som kan eliminera våra mänskliga sårbarheter:   

“Människors agerande spelar en avgörande roll för att ett säkerhetsprogram ska lyckas. Det är lättare för en angripare att locka en användare att klicka på en länk eller öppna en e-postbilaga för att installera skadlig kod och på så sätt ta sig in i ett företag, än att hitta ett sätt genom nätverket för att göra det direkt. Användarna i företag, både avsiktligt och oavsiktligt, kan orsaka incidenter.” 

Det är ganska uppenbart att det är ett bra mål att regelbundet utbilda organisationen om säkerhetsrisker. Men hur får du det att hända?  

De riktlinjer som CIS tillhandahåller är en bra början. De ger dig nio olika effektiva metoder för att hjälpa dig att skapa och upprätthålla ett framgångsrikt utbildningsprogram för säkerhetsmedvetenhet. Här är de nio rekommendationerna: 

Källa: https://www.cisecurity.org/controls/v8, CIS Controls v8 Implementation Groups

Vi kommer att fördjupa oss i var och en av de nio rekommendationerna och ge dig förslag på konkreta åtgärder för att uppfylla varje riktlinje. 

14.1 Skapa och upprätthåll ett utbildningsprogram för säkerhetsmedvetenhet 

Det första steget är att skapa och upprätthålla ett utbildningsprogram för säkerhetsmedvetenhet, vilket är logiskt med tanke på att resten av metoderna handlar om egenskaper som ditt utbildningsprogram bör ha. Om du inte redan har ett utbildningsprogram för IT-säkerhet kan det kännas överväldigande att komma igång. 

Det finns många beslut att fatta när du först bestämmer dig för hur ditt utbildningsprogram för säkerhetsmedvetenhet ska se ut. 

• Vad ska din utbildning om medvetenhet omfatta och hur ska du genomföra den? 
• Hur kan man göra utbildningen i säkerhetsmedvetenhet intressant så att folk verkligen lyssnar? 
• Ska ni genomföra utbildningen med hjälp av online-kurser, personliga möten eller en kombination av båda? 

Utöver bästa praxis för cybersäkerhet är det också viktigt att utbilda dina kollegor i IT-säkerhets- och dataskyddslagar, till exempel GDPR. Även om det kan uppfattas som mycket att täcka in överlappar regleringar och bästa praxis ofta varandra eftersom de arbetar mot samma mål: bättre säkerhet och dataskydd. Det kan såklart krävas lite eftertanke för att knyta ihop ämnena, men innehållet kommer att smälta samman sömlöst. 

Det är viktigt att upprätthålla utbildningsprogrammet så att dina kollegor alltid har goda digitala vanor i åtanke. Vi rekommenderar ett inlärningsformat som kallas mikrolärande, som går ut på att ge lektioner i små doser under en längre tidsperiod. Mikroinlärning upprätthåller utbildningsprogram naturligt, eftersom du har nya ämnen att ta upp med några månaders mellanrum. Vi använder det också i vårt eget utbildningsprogram där vi släpper nya 5-7-minuterskurser varannan månad. 

14.2 Utbilda medarbetare i att känna igen attacker med social manipulation 

Cyberattacker med social manipulation, som till exempel nätfiske, är det största säkerhetshotet som organisationer står inför idag. Om vi inte är alerta och medvetna kan vi lätt falla för en social manipulationsattack och äventyra lösenord, bankkontouppgifter eller tillgång till IT-system.   

Därför är det viktigt att utbilda dina kollegor i hur man känner igen den här typen av attacker. Det bästa sättet att lära ditt team om social manipulation är att utsätta dem för olika taktiker som cyberbrottslingarna själva använder. Ett effektivt sätt att göra detta på är genom nätfiske-simuleringar. Simuleringar ger dina kollegor verklig erfarenhet av hur ett realistiskt hot kan se ut, så att de vet exakt vad de ska vara på sin vakt för i sitt dagliga arbete. Simuleringar har även den extra bonusen att de ger dig insikter i realtid om hur dina kollegor presterar, så att du kan veta hur väl ditt team kan upptäcka hot och om de rapporterar dem på rätt sätt. 

Vi har en guide som hjälper dig att komma igång med nätfiskesimuleringar. I guiden diskuterar vi hur ofta du bör skicka falska nätfiskemejl och vanliga problem som du kan stöta på när du lär dina anställda om nätfiske, och hur du kan övervinna dem. 

Kombinera nätfiskesimuleringar med kurser för medvetenhet för bästa resultat 

Förutom praktiska nätfiskesimuleringar är det bra att ge dina kollegor utbildning i medvetenhet som lär dem hur man upptäcker nätfiskemejl och vanliga metoder för social manipulation. På så sätt kan ditt team först bekanta sig med hur man upptäcker nätfiskemejl och sedan sätta sina färdigheter på prov genom nätfiskesimulering. Vår guide om hur man utformar ett utbildningsprogram med kurser om social manipulation och nätfiske kan ge dig inspiration till ämnen som du kan ta upp i din utbildning. En annan användbar resurs kan vara vår kurs som handlar just om social manipulation. 

14.3 Utbilda medarbetare i bästa praxis för autentisering 

När ditt team väl har lärt sig grunderna, till exempel hur man skapar ett starkt lösenord och hur man upptäcker ett nätfiskemejl, är det dags att ta deras kunskaper till nästa nivå. Autentisering är ett sätt att bekräfta en användares identitet. Inom IT-säkerhet är autentisering viktigt för att få tillgång till konton och för att dubbelkolla att ett e-postmeddelande som begär känslig information är legitimt. 

När det gäller bästa praxis för autentisering rekommenderar vi att du utbildar dina anställda om tvåfaktorsautentisering, hur det fungerar och varför de ska använda det på sina konton. 

Vi föreslår också att alla organisationer skapar en kultur där det är acceptabelt att verifiera e-postens ursprung innan man vidtar åtgärder. Om du till exempel får ett e-postmeddelande från en kollega som ber dig dela ett lösenord bör du kontakta personen på annat sätt (genom att prata med honom eller henne personligen eller ringa honom eller henne) för att försäkra dig om att förfrågan är legitim innan du agerar. Detta är ett viktigt sätt att upptäcka och förhindra nätfiskeattacker. 

14.4 Utbilda medarbetare i bästa praxis för datahantering 

Att utbilda dina kollegor i korrekt hantering av personuppgifter kan vara viktigt för din organisation för att uppnå GDPR-efterlevnad, minska risken för dataintrång eller bara för att följa bästa säkerhetspraxis. Hantering av data ingår sannolikt i allas arbetsbeskrivning. Det måste göras noggrant för att skydda en individs integritet och skydda människor från bedrägerier vid dataintrång. 

Några exempel på ämnen om datahantering som du kan utbilda dina anställda i är: 

• Vad är personuppgifter 
• Rättslig grund för behandling av personuppgifter  
• Vem som bör ha tillgång till personuppgifter  
• Hur du minimerar mängden data du lagrar och varför du bör göra det 
• Hur du på ett säkert sätt gör dig av med data när du inte längre behöver dem 

Kanske är det också relevant för dina kollegor att veta vad ett personuppgiftsbiträde och en personuppgiftsansvarig är. Genom att utbilda ditt team i goda vanor vid hantering av data gör du mycket för att minimera risken för att något går fel i form av ett dataintrång eller en GDPR-överträdelse. 

14.5 Utbilda medarbetare om orsakerna till oavsiktlig dataexponering 

De flesta säkerhetsincidenter sker av misstag. Vi kan till exempel råka skicka ett e-postmeddelande med uppgifter till fel person, lägga ut något på nätet utan att inse att det innehåller personuppgifter eller dela fel flik så att alla kan se den under ett videomöte.   

Det kan också hända att du sitter på ett kafé och inte inser att personen som sitter bredvid dig har fri sikt på din skärm, där dina kunders uppgifter visas. Summan av kardemumman är att de flesta säkerhetsincidenter orsakas av mänskliga fel. Och det första steget för att förhindra dessa misstag är att vara medveten om dem. Genom att utbilda dina kollegor i de olika sätt de av misstag kan avslöja uppgifter på, kan de enklare vara försiktiga när de får tillgång till personuppgifter. 

14.6 Utbilda medarbetare i att känna igen och rapportera säkerhetsincidenter 

Genom utbildning tränar vi så att vi är förberedda på den verkliga händelsen när den inträffar. Genom att lära din organisation hur man känner igen ett potentiellt säkerhetsproblem och den korrekta rapporteringsprocessen ser du till att de är redo att agera vid ett verkligt intrång. Återigen kan en kombination av utbildning i säkerhetsmedvetenhet och nätfiske simuleringar vara användbart här.   

Du kan först lära ditt team om avslöjande kännetecken på ett intrång och vad de ska göra om de misstänker en säkerhetsincident. Svarsprocessen kan t.ex. vara: "Öppna inga länkar och ladda inte ner några bilagor. Kontakta IT-chefen omedelbart och varna sedan dina kollegor". 

När du har lärt ditt team om vad som kännetecknar ett intrång och hur rapporteringsprocessen ser ut, kan du testa hur de reagerar på en säkerhetsincident i praktiken med nätfiske simulering. Den här typen av praktisk övning kommer att avslöja för dig var du bör fokusera din framtida utbildning, baserat på två insikter. För det första ser du hur väl ditt team kan upptäcka en säkerhetsincident utifrån antalet personer som vidtar den önskade åtgärden i nätfiskemejlet. För det andra får du också en uppfattning om hur väl dina kollegor förstår rapporteringsprocessen utifrån hur många personer som kontaktar rätt (eller fel) person. Båda dessa insikter kommer att hjälpa dig att ta reda på om det finns någon förvirring som du bör klargöra i framtida utbildningar. 

14.7 Utbilda medarbetare om säkerhetsuppdateringar 

Säkerhetsuppdateringar är något som vi alla får med några månaders mellanrum. Och eftersom vi får dem så ofta och oftast måste starta om våra enheter för att slutföra dem, är det frestande att skjuta upp dem. Detta kan bli ett problem när vi fortsätter att trycka på knappen "påminn mig i morgon" i stället för att installera uppdateringen.   

Problemet är att de flesta människor inte inser hur viktiga dessa uppdateringar är. De åtgärdar buggar och säkerhetsbrister i programvaran, så att skjuta upp en uppdatering är lite som att låta fönstret till ditt hus stå öppet när du är på semester.   

Vi föreslår att du lär dina kollegor allt om säkerhetsuppdateringar, inklusive varför de bör hålla sina enheter uppdaterade och hur de kan kontrollera om en uppdatering är tillgänglig. 

14.8 Utbilda medarbetare om farorna med att ansluta till och överföra företagsdata via osäkra nätverk 

Nu för tiden är ganska vanligt att arbeta från ett kafé, ett hotell eller i kollektivtrafiken. Många ansluter sig till det gratis Wi-Fi som erbjuds på dessa platser utan att tänka efter. Men även om gratis och offentliga Wi-Fi är bekvämt är det också oskyddat och farligt. När Wi-Fi är oskyddat kan cyberkriminella lura sig in i nätverket och stjäla din data eller lägga in skadlig kod på din enhet. Den här typen av situation skulle vara dålig för dina personliga enheter, men konsekvenserna är ännu större om du använder en arbetsenhet eftersom du utsätter hela företagets data och system för fara. 

Därför är det viktigt att utbilda ditt team om varför de inte ska använda offentligt Wi-Fi och vad de ska använda i stället. Till exempel, i stället för att ansluta till hotellets gratis internet när du reser är det bättre att ansluta till en mobil hotspot. Med en mobil hotspot kan du ansluta en enhet, t.ex. en bärbar dator, till internet genom att använda mobildata från en annan enhet, t.ex. en mobiltelefon. Eftersom du ansluter via en av dina egna enheter är mobila hotspots säkra. Vi tar upp alla dessa ämnen i vår kurs om att arbeta på resande fot. 

14.9 Genomföra utbildning i säkerhetsmedvetenhet som är anpassad efter olika roller  

När du har ett utbildningsprogram för säkerhetsmedvetenhet på plats och du har täckt grunderna, kan du börja fördjupa dig med rollspecifik utbildning. Att lära sig om databehandlingsavtal kanske inte är relevant för alla, men det kan vara viktigt för teamledare som hanterar kontrakt med externa partners. Det är också möjligt att olika avdelningar i din organisation inte alla använder samma program i sitt dagliga arbete. Bokföringsteamet kanske använder ett faktureringssystem som ingen annan håller på med, medan produktteamet kanske använder en teknisk plattform som är specifik för deras arbete. I det här fallet kanske du vill anpassa utbildningen till den programvara eller de plattformar som används av de olika avdelningarna så att utbildningen är relevant för de unika hoten och programmen som de arbetar med. 

Forskning visar att du kan förbättra hur länge individer bevarar information genom att göra utbildningen relevant för dina kollegor. Utforska därför ibland om du kan skräddarsy din utbildning i säkerhetsmedvetenhet till dina kollegors arbetsbeskrivningar. 

CyberPilots utbildning i säkerhetsmedvetenhet uppfyller alla riktlinjer i Control 14 

Nu när vi steg för steg har gått igenom hur du kan ta itu med var och en av de nio riktlinjerna i kontroll 14 i CIS18 bör du ha en god uppfattning om hur du ska komma igång med din utbildning i säkerhetsmedvetenhet. För att göra det ännu tydligare ska vi visa dig hur CyberPilot kan hjälpa dig att uppnå alla nio riktlinjerna och praktisera kontroll 14. 

14.1 Skapa och upprätthåll ett utbildningsprogram för säkerhetsmedvetenhet 

• CyberPilot publicerar nya kurser i säkerhetsmedvetenhet varannan månad (utöver vår katalog med befintliga kurser). Detta hjälper dig att upprätthålla ett utbildningsprogram där dina kollegor hålls uppdaterade om nya säkerhetshot. Prova våra kurser gratis i 14 dagar. 
• CyberPilots introduktionskurs om medvetenhet ger en översikt över varför cybersäkerhet är viktigare än någonsin. 

14.2 Utbilda medarbetare i att känna igen attacker med social manipulation

• Vår utbildning i säkerhetsmedvetenhet innehåller många kurser om hur man känner igen olika typer av nätfisketaktiker och taktiker i social manipulation. Våra kurser om nätfiske och social manipulation ger till exempel dina kollegor en introduktion till ämnena. 
• Du kan bygga på introduktionskurserna med mer djupgående kurser, till exempel vår kurs om riktat nätfiske (spjutfiske). Att börja med grunderna och sedan bryta ner ämnena ytterligare är ett utmärkt sätt att upprätthålla ett utbildningsprogram med nytt innehåll som kommer att utveckla dina kollegors kunskaper med tiden. 

14.3 Utbilda medarbetare i bästa praxis för autentisering 

• Autentisering är en viktig del i organisationens försvar mot säkerhetshot. Det finns olika typer av autentisering. Du kan till exempel lära dina kollegor hur och varför de bör använda tvåfaktorsautentisering på sina konton med vår kurs om tvåfaktorsautentisering. Den här typen av autentisering verifierar en persons identitet när man får tillgång till ett konto. 
• En annan typ av autentisering handlar om hur man verifierar att e-postmeddelanden är legitima och kommer från den som de påstår sig komma från. Den här typen av autentisering skyddar din organisation mot nätfiskeförsök, eftersom den kräver att dina kollegor bekräftar att ett e-postmeddelande med begäran om känsliga uppgifter är legitimt innan de utför en åtgärd. I vår kurs om hur man hanterar nätfiskemejl går vi igenom olika sätt för att autentisera e-postmeddelanden, till exempel genom att prata med avsändaren personligen eller ringa dem. 

14.4  Utbilda medarbetare i bästa praxis för datahantering 

• Bästa praxis för datahantering är viktig om din organisation måste efterleva GDPR. När dina anställda hanterar data med omsorg hjälper de också din organisation att förhindra kostsamma dataintrång. 
• Vi har flera kurser som utbildar dina anställda om vad personuppgifter är och vilka försiktighetsåtgärder de bör vidta när de hanterar dem. Vi har till exempel kurser som behandlar rättsliga grunder för behandling av personuppgifter och hur man skyddar personuppgifter. 

14.5 Utbilda medarbetare om orsakerna till oavsiktlig dataexponering 

• Ingen skulle avsiktligt avslöja känsliga uppgifter (förutom cyberkriminella). Ändå händer det hela tiden. Små misstag som är lätta att göra när vi inte är uppmärksamma kan leda till stora dataintrång. Därför är det viktigt att utbilda ditt team om hur de av misstag kan avslöja data så att de förstår varför de alltid bör vara medvetna om potentiella säkerhetsrisker. 
• Som hjälp med det här har CyberPilot en kurs om e-post och personuppgifter, då att skicka personuppgifter via e-post är en av de största källorna till oavsiktlig dataexponering. Vi har också en kurs om säkerhetsrisker som innehåller info som är bra att vara medveten om under videomöten. Om man av misstag till exempel delar fel skärm kan känsliga uppgifter visas för en oavsiktlig målgrupp.  

14.6 Utbilda medarbetare i att känna igen och rapportera säkerhetsincidenter 

• Eftersom våra kollegor är vår första försvarslinje mot säkerhetsöverträdelser är det viktigt att de vet hur de ska känna igen och rapportera ett potentiellt säkerhetshot på rätt sätt. Vår kurs om VD-bedrägeri kan göra ditt team medvetet om detta farliga säkerhetshot, medan vår kurs om hur man hanterar ett nätfiskemejl ger råd om praktiska åtgärder att vidta när man utsätts för en säkerhetsincident. Du bör också tydligt kommunicera din organisations egen rapporteringsprocess till alla anställda. 
• För att träna dina anställda i att rapportera säkerhetsincidenter och testa deras beredskap rekommenderar vi att du skickar simulerade nätfiskemejl genom ett utbildningsprogram i nätfiske. På så sätt får ditt team möjlighet att omsätta det de lärt sig genom utbildningskurser i praktiken. 

14.7 Utbilda medarbetare om säkerhetsuppdateringar 

• Säkerhetsuppdateringar är en ofta förbisedd del av IT-säkerheten. Men det borde de inte vara! Genom att installera uppdateringar på våra enheter när de blir tillgängliga täpps hål i enheternas säkerhet till och gör dem mindre sårbara för ondsinta cyberattacker. 
• För att utbilda dina kollegor om vikten av att installera säkerhetsuppdateringar i tid har vi en kurs om just uppdateringar. Vi tar även upp uppdateringar tillsammans med andra ämnen i vår kurs om att skydda din arbetsdator. 

14.8 Utbilda medarbetare om farorna med att ansluta till och överföra företagsdata via osäkra nätverk 

• Osäkra nätverk är något som vi alla måste vara försiktiga med, särskilt eftersom många av oss arbetar på platser som kaféer, hotell och i kollektivtrafiken. Farorna med att ansluta till offentliga eller osäkra nätverk är dock inte särskilt kända, vilket kan orsaka stora säkerhetsrisker. 
• Som en del av CyberPilots utbildning för säkerhetsmedvetenhet har vi flera kurser som förbereder dina kollegor på att tillämpa goda digitala vanor när de arbetar utanför kontoret eller hemmet. Vi har till exempel en kurs om säker surfning på internet och en annan kurs om att arbeta på resande fot. Dessa kurser kommer att lära dina kollegor att tänka efter en extra gång innan de använder offentligt Wi-Fi och vad de ska göra i stället. 

14.9 Genomföra utbildning i säkerhetsmedvetenhet som är anpassad efter olika roller 

• Med CyberPilots medvetenhetsutbildning kan du skicka kurser till enskilda personer eller grupper, vilket är användbart när det finns ett ämne som du vill att en viss grupp ska få en repetition eller mer detaljerad information om. 
• Du kan också skapa egna kurser med CyberPilots plattform. Genom att skräddarsy dina kurser kan du täcka ämnen som är specifika för de uppgifter och verktyg som används av varje grupp i din organisation.

Ja det var det! Förhoppningsvis har du nu fått en god uppfattning om hur CyberPilot kan hjälpa dig att uppfylla varje del av kontroll 14 i CIS Controls v8. Med bland annat de kurser vi listat ovan och med nya kurser som kommer ut varannan månad kan du vara säker på att vår utbildning i säkerhetsmedvetenhet kommer att hålla ditt team medvetet och säkert. 

CIS Controls v8 är ett av många ramverk för cybersäkerhet som du kan använda 

Det finns många olika ramverk för cybersäkerhet som du kan arbeta med, och CIS Controls v8 är bara ett av dem. Några andra ramverk är GDPR, ISAE 3000, ISAE 3402, ISO 27001 och NIS2. Vi kommer inte att gå in på dem alla här, men i det här inlägget tar vi upp vanliga cybersäkerhets policys och ramverk och vad de kräver för utbildning i säkerhetsmedvetenhet.   

Vilket ramverk du arbetar inom beror på din bransch och var du bedriver verksamhet. Många av ramverken överlappar varandra och hjälper dig att arbeta för att uppfylla GDPR-kraven också.   

Om du är nyfiken på mer information finns på den här sidan information om hur CIS-kontrollerna hjälper dig att uppfylla andra säkerhetsramverk, inklusive GDPR, NIST och ISO 27001. 

Utbildning i säkerhetsmedvetenhet hjälper dig att uppfylla CIS 18-kontrollerna och samtidigt förbättra din övergripande säkerhet 

De uppdaterade CIS-kontrollerna visar hur viktigt det är att utbilda din organisation i bästa praxis för IT-säkerhet. Fortsatt utbildning i säkerhetsmedvetenhet krävs som en del av CIS Controls v8 och andra säkerhetsföreskrifter, som GDPR. Det krävs för att det fungerar!   

CyberPilots utbildning i säkerhetsmedvetenhet och nätfiskesimuleringar är två sätt att uppfylla dessa krav på utbildning i säkerhetsmedvetenhet och förbereda din organisation för de vanligaste säkerhetshoten. Om du är intresserad av att lära dig mer om hur vi kan samarbeta för att stödja din organisations cybersäkerhet, är du välkommen att kontakta vårt team.