Cyber-Security-FrameworkGAP-AnalyseISPIN empfiehlt ein effektives Cyber-Security-Framework (CSF) für kritische Infrastrukturen (KI). Wir betten darin sämtliche Aktivitäten und Disziplinen ein. Das Framework lehnt sich an das NIST (National Institute of Standards and Technology) Framework für kritische Infrastrukturen an. Unsere langjährige Erfahrung zeigt, dass sich dieses sehr gut den lokalen Gegebenheiten in der Schweiz und den Bedürfnissen des Kunden anpassen lässt. ISPIN hat bereits für zahlreiche Kunden auf Basis dieses Frameworks Cyber-Defense-Programme entwickelt. Integriert ist ein Mapping auf eine Vielzahl von Standards, unter anderem auf CIS CSC v7 (vormals SANS) und ISO 27001/27002. So lassen sich im Falle eines Audits Reports für verschiedene Standards erstellen.Als Grundlage verwenden wir folgende Frameworks und Standards von NIST, CIS und ISO:National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity (NIST CSF) » LinkCenter for Internet Security Critical Security Controls (CIS CSC v6.x) » LinkISO 27001 Information Security Management (ISMS) und ISO 27002:2013 Code of practice for information security controls » Link Der Kern des Frameworks umfasst ein Set von Aktivitäten, um spezifische Cybersecurity-Fähigkeiten zu erreichen. Dabei dient das Framework nicht primär als Checkliste, sondern als Führungsinstrument, um die Cyberrisiken zu managen.Das Maturitätsmodell und das Cockpit werden nach dem NIST-Framework strukturiert und dargestellt. Der Vorteil: Die spätere Umsetzung der Massnahmen kann mit Hilfe des Cyber-Security-Frameworks (CSF) gesteuert werden. Dadurch erreichen Sie einige wichtige Ziele: Sie schliessen Sicherheitslücken, erhöhen die Cyber-Resilience Ihres Unternehmens und erhalten eine klare Darstellung der verbleibenden Exposition. Mittels Dashboards werden zudem die Werte für eine stufengerechte Information nutzbar gemacht.Bei der GAP-Analyse identifiziert und bewertet ISPIN Gaps oder «Fähigkeitsdefizite» in Ihrer Cyber-Defense. Wir beurteilen die aktuelle Bedrohungslage und die Relevanz für Ihre Firma. Als Ergebnis erhalten Sie klare Aussagen über Risiken, die umgehend eliminiert oder zumindest vermindert werden müssen, sowie Vorschläge für konkrete Massnahmen, die beispielsweise in einem ISMS erfasst und von diesem gesteuert werden.Beispiel einer Visualisierung einer GAP-Analyse der IT-Security-Maturität.