Jak „robić bezpieczeństwo”? Zalecenia dla małych, średnich i dużych firm

14 kwietnia, 2019

„CIS Controls v7.1” to zestaw rekomendacji i najlepszych praktyk bezpieczeństwa dla małych, średnich i dużych przedsiębiorstw. Dokument został napisany przez zrzeszoną społeczność ekspertów zatrudnionych w organizacjach z sektora rządowego, ochrony zdrowia, przemysłu i innych. Każdy obszar zabezpieczeń został przygotowany przez profesjonalistów specjalizujących się np. w zarządzaniu ryzykiem, testach penetracyjnych, bezpieczeństwie aplikacji itp. Jest to więc pozycja prawie obowiązkowa dla każdej nawet najmniejszej organizacji, która może porównać, to co zrobiła dla siebie, aby lepiej chronić własny biznes z tym, co jeszcze powinna wdrożyć.

Zalecenia zostały posegregowane według kolorów dla trzech grup:

  • Kolor zielony to podstawowe porady dla małych firm i małych urzędów.
  • Kolor żółty wskazuje na zalecenia dla średnich firm i instytucji publicznych.
  • Kolor niebieski to zalecenia dla dużych organizacji z dużym budżetem na bezpieczeństwo.

Rekomendacje dotyczą 20 głównych obszarów, do których zaliczamy:

  • Inwentaryzację i zarządzanie sprzętem.
  • Inwentaryzację i zarządzanie oprogramowaniem (w tym licencjami).
  • Zarządzanie aktualizacjami bezpieczeństwa / podatnościami.
  • Zarządzanie i kontrolowanie dostępem do uprawnień administracyjnych.
  • Konfigurację sprzętu i oprogramowania w celu uzyskania lepszej ochrony na urządzeniach mobilnych, laptopach, stacjach roboczych i serwerach.

bezpieczeństwo dla małych i średnich firm

  • Monitorowanie i analizę logów.
  • Ochronę poczty e-mail i przeglądarek internetowych.
  • Ochronę przed złośliwym oprogramowaniem.
  • Możliwości odzyskiwania danych.
  • Bezpieczną konfigurację urządzeń sieciowych (zapory, routery i przełączniki).
  • Ochronę sieci.
  • Ochronę danych.
  • Dostęp do sieci i segmentację sieci.
  • Dostęp do Wi-Fi.
  • Monitorowanie i kontrolę kont użytkowników.
  • Wdrożenie szkoleń w zakresie bezpieczeństwa.
  • Bezpieczeństwo aplikacji.
  • Reakcję na zdarzenia i zarządzanie incydentami.
  • Testy penetracyjne i red teaming.

CIS Controls v7.1 to lektura długa, ponieważ bezpieczeństwa nie da się zrobić w jedno popołudnie. Dokument został napisany w sposób zrozumiały, nieskomplikowany. Pracownicy nawet małej organizacji nie muszą przekopywać się przez setki zaleceń, które ich nie dotyczą. Jest to też lektura, która powinna zaciekawić szczególnie osoby zaczynające z bezpieczeństwem lub pracowników IT, którzy chcą poszerzyć swoją wiedzę o zarządzaniu, monitorowaniu, kontrolowaniu, zbieraniu logów, zabezpieczaniu.

Szczegółowy dokument dostępny do pobrania po wypełnieniu wniosku na stronie: https://learn.cisecurity.org/cis-controls-download

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]