Segurança da Informação e CIS Controls v8 – Priorizando as Ações
O CIS Controls (Center for Internet Security Controls) é um conjunto de práticas de segurança cibernética desenvolvido para auxiliar organizações a melhorar sua postura de segurança e proteger seus ativos de informações contra ameaças cibernéticas sendo o CIS Controls v8 a versão mais recente desse conjunto de controles, projetado para se adaptar às mudanças no cenário de ameaças cibernéticas e abordar os desafios de segurança emergentes. O que é o CIS Controls v8? O CIS Controls v8 é um conjunto de 18 controles de segurança que abrange uma variedade de áreas, desde a gestão de ativos até a proteção contra ameaças avançadas. Esses controles fornecem uma estrutura sólida para ajudar as organizações a identificar, proteger, detectar, responder e recuperar-se de ameaças cibernéticas. A importância de adotar o CIS Controls v8 reside em sua capacidade de fornecer um guia claro e acionável para melhorar a segurança cibernética. Por que adotar o CIS Controls v8? Redução de Riscos: A adoção dos CIS Controls ajuda a reduzir os riscos de segurança cibernética, tornando mais difícil para os atacantes explorarem vulnerabilidades conhecidas. Priorizar esses controles ajuda a proteger ativos críticos e dados confidenciais. Compreensão das Ameaças: Os CIS Controls v8 são baseados em dados sobre as ameaças cibernéticas mais recentes. Isso significa que eles abordam as táticas e técnicas usadas por atacantes atualmente, permitindo que as organizações estejam melhor preparadas. Melhor Conformidade: Muitos regulamentos e padrões de segurança, como o GDPR e o NIST Cybersecurity Framework, recomendam ou exigem a implementação de controles de segurança semelhantes aos do CIS Controls. Portanto, adotar esses controles pode ajudar na conformidade regulatória. CIS Controls v8 – Priorizando as Ações Apresentamos aqui os 18 controles do CIS Controls v8, listados por prioridade, juntamente com comentários e pontos de atenção para cada um: Prioridade 1: Basic Cyber Hygiene Inventory and Control of Assets (Controle e Inventário de Ativos): Este controle é fundamental, pois você não pode proteger o que não conhece. Identifique, categorize e priorize ativos. Data Protection: Proteja dados confidenciais e críticos com medidas de criptografia, controle de acesso e políticas de retenção. Secure Configuration: Configure sistemas e software de acordo com as melhores práticas de segurança. Prioridade 2: Foundational Security Controls Vulnerability Management: Identifique, avalie e priorize vulnerabilidades, aplicando patches e atualizações regularmente. Access Control: Gerencie os privilégios de acesso dos usuários e monitore atividades suspeitas. Incident Response (Resposta a Incidentes): Desenvolva um plano de resposta a incidentes e teste-o regularmente. Prioridade 3: Organizational Resilience Email and Web Browser Protections: Proteja os sistemas contra malware distribuído por e-mail e por meio de navegadores. MFA (Autenticação de Multifator): Implemente a autenticação de multifator sempre que possível. Data Protection (Limitation) (Proteção de Dados – Limitação): Restrinja o acesso a dados confidenciais e implemente políticas de privacidade. Prioridade 4: Continuous Improvement Boundary Defense (Defesa de Limites): Estabeleça medidas de segurança nas fronteiras da rede, como firewalls e proxies. Security Skills and Training (Habilidades e Treinamento de Segurança): Treine sua equipe em práticas de segurança cibernética. Advanced Malware Defenses (Defesas contra Malware Avançado): Implemente medidas de detecção e prevenção de malware avançado. Prioridade 5: Adaptive Cyber Defense Secure System Engineering: Desenvolva sistemas seguros desde o início (Security by Design). Security Testing (Testes de Segurança): Realize testes regulares de vulnerabilidade e penetração. Incident Response (Proactive Hunt) (Resposta a Incidentes – Caça Proativa): Procure ativamente por indicadores de comprometimento em sua rede. Prioridade 6: Privacy Protection Manage Privacy (Gerenciar Privacidade): Implemente políticas e práticas de privacidade para proteger dados pessoais. Secure the Supply Chain (Proteger a Cadeia de Suprimentos): Avalie e gerencie riscos de segurança na cadeia de suprimentos. Governance (Governança): Estabeleça uma estrutura de governança de segurança cibernética para monitorar e gerenciar os controles. A priorização dos controles deve levar em consideração os riscos específicos e as necessidades da organização. Comece pela implementação dos controles de prioridade 1 e, em seguida, avance para os de prioridade mais alta. Certifique-se de revisar e atualizar regularmente a conformidade com os CIS Controls v8, pois o cenário de ameaças cibernéticas está em constante evolução. Em resumo, o CIS Controls v8 oferece uma estrutura sólida para melhorar a segurança cibernética, adaptando-se às ameaças emergentes. Priorizar a implementação desses controles ajuda a proteger os ativos da organização, reduzir riscos e manter a conformidade com regulamentos de segurança.