Wie man mit Cyber Essentials anfängt

Runecast Academy Serie 2 - Teil 9. Wie man mit Cyber Essentials anfängt

Cyber Essentials ist ein britischer Sicherheitsstandard, der durch jährliche Bewertungen zeigen soll, dass eine Organisation über ein Mindestmaß an Cybersicherheit verfügt. Er umfasst eine Reihe grundlegender technischer Kontrollen, die Organisationen dabei helfen sollen, sich gegen gängige Online-Sicherheitsbedrohungen zu schützen. Das Cyber Essentials-System ist ein von der britischen Regierung unterstütztes Rahmenwerk, das vom NCSC (National Cyber Security Center) unterstützt wird. 

Die britische Regierung hat in Zusammenarbeit mit der Information Assurance for Small and Medium Enterprises (IASME) und dem Information Security Forum (ISF) die Cyber Essentials entwickelt. 

Seit dem 1. Oktober 2014 schreibt die britische Regierung vor, dass alle Anbieter, die sich um Aufträge bewerben, die den Umgang mit bestimmten sensiblen und personenbezogenen Daten beinhalten, nach Cyber Essentials zertifiziert sein müssen. 

Cyber Essentials deckt die folgenden Bereiche ab:

1) Firewalls und Router

2. die Software-Aktualisierung

3. schutz vor malware

4. die Zugangskontrolle

5. sichere Konfiguration

Es gibt zwei Stufen der Cyber Essentials-Zertifizierung: Für die Basisstufe (Cyber Essentials genannt) muss ein Unternehmen eine Selbstbewertung durchführen und eine Zahlung an den IASME-Zertifizierungsausschuss leisten. Die höhere Cyber Essentials Plus-Zertifizierung setzt die gleichen Schutzmaßnahmen und Kontrollen voraus. Anstelle einer Selbstbewertung führt ein Prüfer jedoch eine technische Prüfung von Systemen, Endgeräten, Internet-Gateways und Diensten durch, die für nicht authentifizierte Benutzer über das Internet zugänglich sind. 

Einhaltung der Cyber Essentials 

Alle Organisationen, die eng mit den Institutionen der britischen Regierung zusammenarbeiten und mit sensiblen Informationen umgehen, sind von der britischen Regierung dazu verpflichtet, Cyber Essentials-konform zu sein. Cyber Essentials eignet sich für alle Organisationen (innerhalb und außerhalb des Vereinigten Königreichs), gleich welcher Größe und in welchem Sektor. Allen anderen Unternehmen oder Strukturen, die mit hochsensiblen Daten umgehen, deren Verlust oder Verletzung ihren Interessen großen Schaden zufügen könnte, wird empfohlen, Cyber Essentials-konform zu sein. Die Nichteinhaltung der Cyber Essentials kann mit hohen Geldstrafen, Geschäftseinbußen und Rufschädigung für das Unternehmen verbunden sein.

Herausforderungen bei der Einhaltung der Cyber Essentials

Zeitaufwendig

Die Einhaltung von Sicherheitsstandards ist eine Herausforderung, denn es erfordert viel Zeit, alle Kontrollen in Ihrer Umgebung zu implementieren, und das ist auch bei den Cyber Essentials der Fall. In Anbetracht der Tatsache, dass es viele Veröffentlichungen von Cyber Essentials-Leitfäden gibt, wissen wir, welche Arbeit auf Sie wartet.  

Mangel an IT-Ressourcen

Alle Unternehmen, die die Sicherheitsprüfungen im Auge behalten müssen, sollten mehr Mitarbeiter in den Prozess der Einhaltung der Vorschriften einbeziehen, indem sie alle IT-Systeme auf Sicherheitsfehlkonfigurationen hin überprüfen und alle Systeme gemäß den Cyber Essentials-Regeln korrigieren.

Häufige Audits 

Die Häufigkeit der Sicherheitsprüfungen trägt dazu bei, dass der Prozess zeitaufwändig und lästig ist. Die Einhaltung der Cyber Essentials bedeutet, dass Sie die empfohlenen Regeln regelmäßig überprüfen und umsetzen, aber auch Berichte für die anstehenden Audits erstellen müssen. 

Unterschiedliche IT-Umgebungen

Die meisten Unternehmen arbeiten heute in komplexen IT-Umgebungen, was die Einhaltung der Vorschriften aufgrund der spezifischen Regeln (Kontrollen), die für jedes System gelten, zu einer noch größeren Herausforderung macht. Es ist sehr schwierig, all diese Systeme manuell zu überprüfen und die erforderliche Lösung für jede spezifische Regel anzuwenden.

Runecast

Sicherheitsanalysen und Berichte in Echtzeit 

In Anbetracht der Schmerzen, die der Weg zur Einhaltung der Vorschriften mit sich bringt, haben wir die Lösung für Ihre Schmerzen entwickelt: Runecast. Jetzt spielt es keine Rolle mehr, wie schwierig der Weg zur Einhaltung der Vorschriften ist und wie knapp Sie an Ressourcen sind, Runecast wird die ganze Arbeit für Sie erledigen. 

Runecast ist eine Plattform, die entwickelt wurde, um das Beste für Ihre Umgebung zu erreichen. Sie scannt jede Ihrer spezifischen Konfigurationen und stellt Ihnen in Echtzeit Fit-Gap-Analysen, Abhilfeskripte, Sicherheitsprüfungen und Best Practices der Hersteller zur Verfügung. Dieser automatisierte Prozess nimmt Ihnen die gesamte manuelle Arbeit ab, verbessert Ihre Leistung und spart Ihnen bei all Ihren Anlagen. Darüber hinaus ist es innerhalb der Runecast-Plattform einfach, Probleme zu filtern und zu sortieren und historische Konfigurationen zu vergleichen. Auf diese Weise können Sie die Kurve Ihrer Leistung im Laufe der Zeit studieren, was Ihre Sicherheit noch besser zugänglich macht. 

Runecast automatisiert Ihr Schwachstellenmanagement und die Prüfung der Einhaltung von Sicherheitsstandards für AWS, Azure, Kubernetes und VMware sowie für Windows und Linux OS. Es unterstützt Sie proaktiv bei Cloud Security Posture Management (CSPM), Kubernetes Security Posture Management (KSPM) und Governance, Risk & Compliance (GRC). Es bietet kontinuierliche Audits gegen andere gängige Sicherheitsstandards wie CIS Benchmarks, NIST, HIPAA, PCI DSS, DISA STIG, BSI IT-Grundschutz, ISO 27001, GDPR, Essential 8 (Australien) und den CISA KEVs Katalog.

Zusammenfassung

Die Einhaltung des Cyber Essential-Standards ist für Unternehmen mit Verträgen mit der britischen Regierung von entscheidender Bedeutung. Auch anderen Organisationen, die mit sensiblen Daten umgehen und Cyberangriffen ausgesetzt sind, wird dies dringend empfohlen, um ihre Cybersicherheit zu schützen. Der Weg zur Einhaltung der Vorschriften ist für all diese Organisationen ein mühsamer Prozess, der viel Zeit und anstrengende manuelle Arbeit in Anspruch nehmen kann. In Anbetracht der schweren Last, die auf dem Rücken einer Organisation lastet, haben wir Runecast entwickelt, eine einfache Lösung, die Ihnen die Arbeit erleichtert. Ganz gleich, wie komplex Ihre Infrastruktur ist oder wie knapp Ihre Ressourcen sind, keine Sorge, Runecast ist jetzt da. Runecast ist eine Plattform, die Ihre manuelle Arbeit automatisiert, indem sie Sicherheitsanalysen in Echtzeit und Skripte zur Behebung Ihrer Sicherheitsprobleme bereitstellt. Darüber hinaus können Sie jederzeit Echtzeitberichte über Ihre Sicherheitslage erstellen und für Audits gerüstet sein. Runecast bietet nicht nur Analysen zur Einhaltung von Sicherheitsstandards, sondern auch Funktionen für Konfigurationsprobleme und Schwachstellenmanagement, Best Practices, Log-Analysen, Konfigurationsspeicher zur Überwachung von Änderungen in Ihrer Infrastruktur, vSphere-Upgrade-Simulation und Hardware-Kompatibilitätsanalysen Ihrer vSphere-Umgebung. Es unterstützt Ihr Schwachstellenmanagement und Ihre Audits zur Einhaltung von Sicherheitsstandards für AWS, Azure, Kubernetes und VMware sowie für Windows und Linux OS.