Negli ultimi due anni è diventato ovvio che nel mondo della sicurezza delle informazioni, il reato sta sovraperformando la difesa. Anche se i budget aumentano e la gestione presta maggiore attenzione ai rischi di perdita di dati e penetrazione del sistema, i dati vengono ancora persi e i sistemi vengono ancora penetrati. Più e più volte le persone si chiedono: “Cosa possiamo fare praticamente per proteggere le nostre informazioni?”La risposta è arrivata sotto forma di 20 controlli di garanzia delle informazioni noti come controlli CIS.,
I controlli di sicurezza critici CIS-Versione 7.,Control
Critica i Controlli di Sicurezza Efficaci Cyber Defense
Le seguenti descrizioni delle Critiche di Controlli di Sicurezza può essere trovato presso Il SANS Sito web dell’Istituto:
nel Corso degli anni, molti standard di sicurezza e i requisiti di quadri sono stati sviluppati nel tentativo di affrontare i rischi per i sistemi di impresa e i dati di importanza critica in loro., Tuttavia, la maggior parte di questi sforzi sono essenzialmente diventati esercizi di reporting sulla conformità e hanno effettivamente deviato le risorse del programma di sicurezza dagli attacchi in continua evoluzione che devono essere affrontati. Nel 2008, questo è stato riconosciuto come un problema serio dalla National Security Agency (NSA) degli Stati Uniti, e hanno iniziato uno sforzo che ha preso un approccio “reato deve informare la difesa” per dare la priorità a un elenco dei controlli che avrebbero il maggiore impatto nel migliorare la postura del rischio contro le minacce del mondo reale. Un consorzio di U. S., e le agenzie internazionali sono rapidamente cresciute e sono state raggiunte da esperti dell’industria privata e di tutto il mondo. In definitiva, le raccomandazioni per quelli che sono diventati i controlli di sicurezza critici (i Controlli) sono stati coordinati attraverso l’Istituto SANS. Nel 2013, la gestione e il mantenimento dei controlli sono stati trasferiti al Council on CyberSecurity (il Consiglio), un’entità senza scopo di lucro indipendente e globale impegnata in una rete Internet sicura e aperta.,
I controlli di sicurezza critici si concentrano innanzitutto sulla priorità delle funzioni di sicurezza efficaci contro le ultime minacce mirate avanzate, con una forte enfasi su “Ciò che funziona” – controlli di sicurezza in cui sono in uso prodotti, processi, architetture e servizi che hanno dimostrato l’efficacia del mondo reale. La standardizzazione e l’automazione sono un’altra priorità assoluta, per ottenere efficienze operative migliorando al contempo l’efficacia., Le azioni definite dai Controlli sono dimostrabilmente un sottoinsieme del catalogo completo definito dal National Institute of Standards and Technology (NIST) SP 800-53. I controlli non tentano di sostituire il lavoro del NIST, compreso il quadro di sicurezza informatica sviluppato in risposta all’ordine esecutivo 13636. I controlli invece danno la priorità e si concentrano su un numero minore di controlli attuabili con un alto payoff, mirando a una filosofia “deve fare prima”., Poiché i controlli sono stati derivati dai modelli di attacco più comuni e sono stati controllati in una comunità molto ampia di governo e industria, con un consenso molto forte sul set di controlli risultante, servono come base per un’azione immediata di alto valore.
Raccomandato Riferimenti
Critica i Controlli di Sicurezza (versione 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |