Skip to content

🧩 Øvelse 47 – Vurdering af CIS18-implementeringsgruppe (IG)

🎯 Formål

Formålet med denne øvelse er at give dig en grundlæggende forståelse for, hvordan CIS18-kontroller kan bruges til at vurdere en virksomheds sikkerhedsmodenhed. Du skal i denne casebaserede opgave arbejde med begrebet implementeringsgrupper (IG) og anvende det til at analysere en virksomheds aktuelle praksis og fremtidige behov.

🧠 Baggrund

CIS Controls v8 indeholder 18 kontroller, som er struktureret til at hjælpe organisationer med at opbygge et effektivt sikkerhedsprogram.
For at sikre, at anbefalingerne er realistiske og tilpasset forskellige typer organisationer, arbejder CIS med tre implementeringsgrupper (IG1–IG3), der svarer til stigende modenhed og risikoprofil.

Ved at analysere en virksomheds sikkerhedspraksis kan man vurdere, hvilken IG der passer bedst – og hvordan virksomheden kan bevæge sig mod et højere niveau.

🏢 Case: BS Consulting A/S

BS Consulting A/S er en mellemstor virksomhed i teknologibranchen. De udvikler softwareløsninger til internationale kunder og opbevarer følsomme persondata. Virksomheden er bekymret for deres cybersikkerhed og ønsker en vurdering af deres nuværende situation og modenhedsniveau i forhold til CIS18.

Nuværende situation:

  1. Har en etableret IT-afdeling med ansvar for cybersikkerhed.
  2. Har antivirus og antimalware installeret og opdateret.
  3. Har rollebaseret adgangskontrol.
  4. Har en sikkerhedspolitik, men den er forældet, og medarbejdere er ikke trænet i den.
  5. Har en reaktiv tilgang til sikkerhed (reagerer på hændelser, men forebygger ikke proaktivt).

👥 Instruktioner

Som gruppe skal I analysere casen og vurdere:

  • Hvilken implementeringsgruppe (IG1, IG2 eller IG3) passer BS Consulting A/S bedst til i deres nuværende tilstand?
  • Hvilke dele af deres praksis trækker i retning af lav/moderat/høj modenhed?
  • Hvad skal der til for at hæve modenheden til næste IG?

Skriv jeres vurdering og begrund den med henvisning til CIS18-principper.

⏱️ Tid til rådighed: 25 minutter

🤔 Refleksionsspørgsmål

  • Hvordan stemmer BS Consulting A/S’ praksis overens med kontrollerne i IG1?
  • Hvad er den største forskel mellem reaktiv og proaktiv cybersikkerhed?
  • Hvilke indsatser ville give mest værdi for BS Consulting A/S lige nu?
  • Hvordan kan en virksomhed bruge IG-opdelingen til at prioritere sikkerhedsindsatser?