by adminCIS Controls: o que são e por que implementar
Todo mundo que lida com segurança cibernética possui uma série de problemas comuns: manter-se atualizado sobre as práticas mais efetiva do mercado é um deles, porém entram na lista a necessidade de definir que práticas priorizar e como demonstrar aos seus stakeholders que sua estratégia adotada é compreensível e confiável.
Se estas são questões também suas, vale pensar em adotar os CIS Controls, que são um conjunto de práticas recomendadas de segurança cibernética e ações defensivas que voltadas a ajudar a prevenir os tipos de ataques mais generalizados e perigosos, dando ainda suporte à conformidade em um ecossistema de múltiplas estruturas.
Desenvolvido pelo Center for Internet Security® (CIS), uma organização extremamente respeitada e conceituada no setor de segurança da informação, os CIS Controls são uma publicação de diretrizes e práticas recomendadas para segurança de computadores, constantemente atualizadas e revisadas desde 2008.
A implementação do CIS Controls é complexa?
A resposta é sim, e não. Na verdade, a implementação dos CIS Controls envolve práticas recomendadas visando boa política de segurança cibernética. São conhecimentos estudados e sedimentados por um grupo de especialistas em TI e SI, tendo por base informações coletadas em ataques reais e defesas que funcionaram. Dessa forma, embora seja um conjunto extenso, esses protocolos conseguem fornecer, da maneira mais simplificada possível, orientação específica e um caminho claro para que as organizações atinjam metas e objetivos importantes de segurança da informação.
Vale dizer que, antes do nome atual, os CIS Controls eram conhecidos como os “20 principais controles de segurança críticos do SANS”. Atualmente, ao invés de 20, são 18 as diretrizes principais, que ajudam as organizações a melhorarem suas defesas contra ataques cibernéticos conhecidos, por transformar os principais conceitos de segurança em controles acionáveis, ou seja, úteis em diversas situações, e o resultado é um maior nível de capacidade geral para defesa em segurança cibernética.
Para que todos esses objetivos sejam atingidos, o Center for Internet Security® (CIS) trabalha constantemente para manter o CIS Controls útil e atualizado, modificando-o com base em comentários, tecnologias em evolução e no cenário de ameaças em constante evolução.
Em sua atual versão, a CIS Controls V8, as diretrizes são condizentes com os serviços em nuvem, com o aumento exponencial do trabalho remoto, bem como com ambientes móveis e com as atuais mudanças nas táticas de ataque.
Não é somente uma lista de recomendações
Abaixo, traremos as 18 recomendações da nova versão dos CIS Controls. Mas, antes, vale lembrar a você que de forma alguma se trata de uma lista para se seguir e ponto. Na verdade, é melhor pensar na lista como um ponto de partida. Ou seja, é importante procurar o ecossistema que cresce em torno dos CIS Controls.
Isso porque, junto com a comunidade, é possóvel obter treinamentos, informações complementares, explicações; saber como outros implementaram e usaram essas recomendações; há um mercado de ferramentas e serviços de fornecedores para escolher; como medir o progresso ou maturidade; como isso se alinha com a miríade de estruturas regulatórias e de conformidade que se aplicam a mim?
Ou seja, o verdadeiro poder dos Controles CIS não é criar a melhor lista, mas sim aproveitar a experiência de uma comunidade de indivíduos e empresas para realmente fazer melhorias na segurança por meio do compartilhamento de ideias, ferramentas, lições e ações coletivas.Para saber mais sobre os tipos de ajuda de trabalho e outros materiais de suporte, acesse: https://www.cisecurity.org/controls/v8/.
Os 18 controles de segurança críticos do CIS
Anteriormente os SANS Critical Security Controls (SANS Top 20), agora são oficialmente chamados de CIS Critical Security Controls (CIS Controls).
O CIS Controls Versão 8 combina e consolida os CIS Controls por atividades, e não por quem gerencia os dispositivos. Dispositivos físicos, limites fixos e ilhas discretas de implementação de segurança são menos importantes; isso se reflete na v8 por meio da terminologia revisada e do agrupamento de Salvaguardas, resultando em uma diminuição do número de Controles de 20 para 18.
Controle CIS 1: Inventário e Controle de Ativos Empresariais
Gerencie ativamente (inventário, rastreie e corrija) todos os ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/Internet das Coisas (IoT) e servidores) conectados à infraestrutura fisicamente, virtualmente, remotamente, e aqueles em ambientes de nuvem, para conhecer com precisão a totalidade dos ativos que precisam ser monitorados e protegidos dentro da empresa. Isso também dará suporte à identificação de ativos não autorizados e não gerenciados para remover ou corrigir.
CIS Control 2: Inventário e Controle de Ativos de Software
Gerencie ativamente (inventário, rastreie e corrija) todos os softwares (sistemas operacionais e aplicativos) na rede para que apenas softwares autorizados sejam instalados e possam ser executados, e que softwares não autorizados e não gerenciados sejam encontrados e impedidos de instalação ou execução.
Controle CIS 3: Proteção de Dados
Desenvolva processos e controles técnicos para identificar, classificar, manipular, reter e descartar dados com segurança.
Controle CIS 4: Configuração segura de ativos e software corporativos
Estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicativos).
Controle CIS 5: Gerenciamento de contas
Use processos e ferramentas para atribuir e gerenciar a autorização de credenciais para contas de usuário, incluindo contas de administrador, bem como contas de serviço, para ativos e software corporativos.
Controle CIS 6: Gerenciamento de Controle de Acesso
Use processos e ferramentas para criar, atribuir, gerenciar e revogar credenciais de acesso e privilégios para contas de usuário, administrador e serviço para ativos e software corporativos.
Controle CIS 7: Gerenciamento Contínuo de Vulnerabilidades
Desenvolva um plano para avaliar e rastrear continuamente as vulnerabilidades em todos os ativos da empresa na infraestrutura da empresa, a fim de corrigir e minimizar a janela de oportunidade para os invasores. Monitore fontes públicas e privadas do setor em busca de novas informações sobre ameaças e vulnerabilidades.
Controle CIS 8: Gerenciamento de Log de Auditoria
Colete, alerte, revise e retenha logs de auditoria de eventos que podem ajudar a detectar, entender ou se recuperar de um ataque.
Controle CIS 9: Proteções de e-mail e navegador da Web
Melhore as proteções e detecções de ameaças de vetores de e-mail e web, pois essas são oportunidades para os invasores manipularem o comportamento humano por meio de envolvimento direto.
Controle CIS 10: Defesas contra malware
Impeça ou controle a instalação, disseminação e execução de aplicativos, códigos ou scripts maliciosos em ativos corporativos.
Controle CIS 11: Recuperação de Dados
Estabeleça e mantenha práticas de recuperação de dados suficientes para restaurar os ativos corporativos no escopo para um estado pré-incidente e confiável.
Controle CIS 12: Gerenciamento de infraestrutura de rede
Estabeleça, implemente e gerencie ativamente (rastreie, relate, corrija) dispositivos de rede, a fim de evitar que invasores explorem serviços de rede e pontos de acesso vulneráveis.
Controle CIS 13: Monitoramento e Defesa de Rede
Opere processos e ferramentas para estabelecer e manter monitoramento de rede abrangente e defesa contra ameaças de segurança em toda a infraestrutura de rede e base de usuários da empresa.
Controle CIS 14: Conscientização sobre Segurança e Treinamento de Habilidades
Estabelecer e manter um programa de conscientização de segurança para influenciar o comportamento entre a força de trabalho a ser consciente da segurança e adequadamente qualificada para reduzir os riscos de segurança cibernética para a empresa.
Controle CIS 15: Gerenciamento do Provedor de Serviços
Desenvolva um processo para avaliar os provedores de serviços que detêm dados confidenciais ou são responsáveis por plataformas ou processos de TI críticos de uma empresa, para garantir que esses provedores estejam protegendo essas plataformas e dados adequadamente.
Controle CIS 16: Segurança de Software de Aplicativo
Gerencie o ciclo de vida de segurança do software desenvolvido, hospedado ou adquirido internamente para prevenir, detectar e corrigir pontos fracos de segurança antes que eles possam afetar a empresa.
Controle CIS 17: Gerenciamento de Resposta a Incidentes
Estabeleça um programa para desenvolver e manter uma capacidade de resposta a incidentes (por exemplo, políticas, planos, procedimentos, funções definidas, treinamento e comunicações) para preparar, detectar e responder rapidamente a um ataque.
Controle CIS 18: Teste de Penetração
Teste a eficácia e a resiliência dos ativos corporativos por meio da identificação e exploração de pontos fracos nos controles (pessoas, processos e tecnologia) e simulando os objetivos e as ações de um invasor.
Quer saber mais sobre os CIS Controls?
Entre em contato conosco, clicando aqui.