Conheça o CIS Controls - Center of Internet Security

O que é o CIS Controls (Center of Internet Security)

CIS Controls é uma lista de 20 medidas de segurança cibernética desenvolvidas pela Center for Internet Security (CIS), uma organização sem fins lucrativos dedicada à melhoria da segurança cibernética. Essas medidas são projetadas para ajudar as organizações a proteger seus sistemas, dados e rede contra ameaças cibernéticas.

As CIS Controls cobrem uma ampla gama de tópicos de segurança, desde a gestão de ativos e patches, até a gestão de acesso e a monitorização de segurança. Elas foram projetadas para serem aplicáveis a todas as organizações, independentemente do tamanho ou setor, e são frequentemente utilizadas como uma referência para ajudar as empresas a avaliar e melhorar sua segurança cibernética.

A lista de controles do CIS é atualizada regularmente pela comunidade para garantir que acompanhem as ameaças e tendências cibernéticas mais recentes. Além disso, a lista é baseada em evidências e em uma abordagem de defesa em profundidade, o que significa que as medidas são priorizadas com base na eficácia e na facilidade de implementação.

Alguns dos benefícios específicos incluem:

• Proteção contra ameaças cibernéticas: Os CIS Controls fornecem uma abordagem abrangente e baseada em risco para proteger sua organização contra as principais ameaças cibernéticas, como ataques de phishing, malware e roubo de dados.
• Compliance: Os CIS Controls podem ajudar sua organização a atender aos requisitos regulatórios e normativos para segurança cibernética, como o NIST Cybersecurity Framework ou o PCI DSS.
• Melhoria da eficiência: Implementando os CIS Controls, sua organização pode identificar e corrigir vulnerabilidades críticas, o que pode ajudar a evitar incidentes de segurança e reduzir os custos associados a eles.
• Aumento da confiança dos clientes: A implementação dos CIS Controls pode ajudar a melhorar a imagem da organização e aumentar a confiança dos clientes e parceiros comerciais, mostrando que sua organização está comprometida com a segurança cibernética.
• Continuidade dos negócios: A implementação dos CIS Controls pode ajudar a garantir a continuidade dos negócios, preparando sua organização para lidar com incidentes de segurança e recuperar rapidamente do impacto

Além disso, o CIS Controls é projetado complementar a outros framework de segurança, como o NIST Cybersecurity Framework e o ISO 27001.

Em resumo, as CIS Controls são uma lista importante de medidas de segurança cibernética que ajudam as organizações a proteger seus sistemas e dados contra ameaças cibernéticas. Implementá-las pode ajudar a melhorar a segurança cibernética de uma empresa e aumentar a confiança dos clientes, parceiros e reguladores.

A quem se destina o CIS Controls

O CIS Controls é destinado a qualquer organização, grande ou pequena, que queira proteger sua infraestrutura e informações contra ameaças cibernéticas. Ele foi desenvolvido para ser uma abordagem prática e eficaz para a segurança cibernética que pode ser implementada por equipes de segurança cibernética, equipes de TI, gerentes de segurança de informação e outros profissionais envolvidos na proteção de ativos cibernéticos. 

Os controles do CIS (versão 7)

Estes controles cobrem uma ampla gama de práticas de segurança cibernética e são projetados para ajudar as organizações a protegerem seus sistemas e dados contra ameaças cibernéticas.

1. Atualização e proteção de sistemas
2. Proteção de informações sensíveis
3. Criptografia de dados em repouso e em trânsito
4. Proteção da rede
5. Gerenciamento de acesso a informações sensíveis
6. Controle de acesso a dispositivos
7. Gerenciamento de usuários
8. Monitoramento e detecção de ameaças
9. Gerenciamento de vulnerabilidades
10. Controle de usuários remotos
11. Proteção contra ameaças externas
12. Proteção contra malware
13. Proteção de dados sensíveis
14. Controle de periféricos
15. Continuidade de negócios e recuperação de desastres
16. Gestão de identidade e acesso
17. Detecção e resposta a incidentes
18. Monitoramento e detecção avançados
19. Gestão de ameaças
20. Segurança em nuvem

Sobre a divisão dos Controles

O CIS Controls é divididos em três categorias:

1. Fundamentais: Esta categoria inclui 20 controles que são considerados os mais importantes e críticos para proteger uma organização contra ameaças cibernéticas. Eles abrangem áreas como segurança de informações, gerenciamento de ativos, acesso às informações e controle de usuários.

2. Intermediários: Esta categoria inclui 12 controles adicionais que podem ser implementados de acordo com as necessidades da organização e de acordo com as ameaças que enfrenta. Eles incluem áreas como detecção e resposta a incidentes, gestão de vulnerabilidades e proteção de dados.

3. Avançados: Esta categoria inclui 7 controles adicionais que podem ser implementados pelas organizações com capacidades e recursos de segurança cibernética mais avançados. Eles incluem áreas como gerenciamento de identidade e acesso, monitoramento de segurança avançado e gerenciamento de ameaças.

Cada controle inclui diretrizes e boas práticas para a sua implementação, bem como recursos adicionais, como ferramentas e treinamentos, para ajudar as organizações a proteger sua infraestrutura e informações contra ameaças cibernéticas.

Os controles são separados em 3 grupos, dependendo do porte da organização:

GRUPO 1 (IG1)

Uma empresa IG1 é de pequeno a médio porte, com experiência limitada em TI e segurança cibernética dedicada à proteção de ativos e pessoal de TI.

As Medidas de Segurança selecionadas para IG1 devem ser implementáveis com experiência limitada em segurança cibernética e destinadas a impedir ataques gerais não direcionados. Essas proteções também são tipicamente projetadas para funcionar em conjunto com soluções pequenas e domésticas de hardware e software (comercial off-the-shelf—COTS).

GRUPO 2 (IG2) - Acumula todos os requisitos do IG1

Uma empresa IG2 já emprega indivíduos responsáveis por gerenciar e proteger a infraestrutura de TI. Essas empresas oferecem suporte a vários departamentos com diferentes perfis de risco com base na função e na missão do trabalho. Pequenas unidades da empresa podem ter encargos de conformidade regulatória. As empresas IG2 geralmente armazenam e processam informações confidenciais de clientes ou empresas e podem resistir a curtas interrupções de serviço.

As Medidas de Segurança selecionadas para IG2 ajudam as equipes de segurança a lidar com o aumento da complexidade operacional. Algumas proteções dependerão de tecnologia de nível empresarial e conhecimento especializado para instalar e configurar adequadamente.

GRUPO 3 (IG3) - Acumula todos os requisitos do IG1 e IG2

Uma empresa IG3 emprega especialistas em segurança especializados nas diferentes facetas da segurança cibernética (por exemplo, gestão de riscos, teste de invasão, segurança de aplicações).

Os ativos e dados do IG3 contêm informações ou funções confidenciais que estão sujeitas à supervisão regulatória e de conformidade. Uma empresa IG3 deve abordar a disponibilidade dos serviços e a confidencialidade e integridade dos dados sensíveis. Ataques bem-sucedidos podem causar danos significativos ao bem público.

As Medidas de Segurança selecionadas para IG3 devem diminuir os ataques direcionados de um adversário sofisticado e reduzir o impacto dos ataques zero-day.

Por onde começar?

Você pode encontrar informações detalhadas sobre os CIS Controls em seguintes links:

1. Site oficial do CIS (Center for Internet Security): https://www.cisecurity.org/controls/

2. Guia de implementação de CIS Controls: https://www.cisecurity.org/controls/cis-controls-implementation-guide/

3. Lista de verificação de CIS Controls: https://www.cisecurity.org/controls/cis-controls-checklist/

4. Plano de implementação de CIS Controls: https://www.cisecurity.org/controls/cis-controls-plan/

5. Blog do CIS sobre segurança cibernética: https://www.cisecurity.org/blog/

Estes links oferecem informações e recursos para ajudar a entender e implementar os CIS Controls, incluindo diretrizes, boas práticas, checklists e ferramentas para ajudar a proteger sua organização contra ameaças cibernéticas.

Serviços de consultoria, treinamento no CIS Controls

A El Canary oferece treinamentos e consultoria para ajudar as organizações a implementar os controles de segurança cibernética de maneira eficaz. Nosso escritório de segurança e privacidade utiliza o CIS Controls como referência para realizar a gestão de segurança em nossos clientes, realizando análises regulares e gerenciamento completo do programa de conformidade com o CIS.

Conheça nosso escritório: