Segurança da Informação e CIS Controls v8 – Priorizando as Ações

O CIS Controls (Center for Internet Security Controls) é um conjunto de práticas de segurança cibernética desenvolvido para auxiliar organizações a melhorar sua postura de segurança e proteger seus ativos de informações contra ameaças cibernéticas sendo o CIS Controls v8 a versão mais recente desse conjunto de controles, projetado para se adaptar às mudanças no cenário de ameaças cibernéticas e abordar os desafios de segurança emergentes.

O que é o CIS Controls v8?

O CIS Controls v8 é um conjunto de 18 controles de segurança que abrange uma variedade de áreas, desde a gestão de ativos até a proteção contra ameaças avançadas. Esses controles fornecem uma estrutura sólida para ajudar as organizações a identificar, proteger, detectar, responder e recuperar-se de ameaças cibernéticas. A importância de adotar o CIS Controls v8 reside em sua capacidade de fornecer um guia claro e acionável para melhorar a segurança cibernética.

Por que adotar o CIS Controls v8?

1. Redução de Riscos: A adoção dos CIS Controls ajuda a reduzir os riscos de segurança cibernética, tornando mais difícil para os atacantes explorarem vulnerabilidades conhecidas. Priorizar esses controles ajuda a proteger ativos críticos e dados confidenciais.
2. Compreensão das Ameaças: Os CIS Controls v8 são baseados em dados sobre as ameaças cibernéticas mais recentes. Isso significa que eles abordam as táticas e técnicas usadas por atacantes atualmente, permitindo que as organizações estejam melhor preparadas.
3. Melhor Conformidade: Muitos regulamentos e padrões de segurança, como o GDPR e o NIST Cybersecurity Framework, recomendam ou exigem a implementação de controles de segurança semelhantes aos do CIS Controls. Portanto, adotar esses controles pode ajudar na conformidade regulatória.

CIS Controls v8 – Priorizando as Ações

Apresentamos aqui os 18 controles do CIS Controls v8, listados por prioridade, juntamente com comentários e pontos de atenção para cada um:

Prioridade 1: Basic Cyber Hygiene

1. Inventory and Control of Assets (Controle e Inventário de Ativos): Este controle é fundamental, pois você não pode proteger o que não conhece. Identifique, categorize e priorize ativos.
2. Data Protection: Proteja dados confidenciais e críticos com medidas de criptografia, controle de acesso e políticas de retenção.
3. Secure Configuration: Configure sistemas e software de acordo com as melhores práticas de segurança.

Prioridade 2: Foundational Security Controls

4. Vulnerability Management: Identifique, avalie e priorize vulnerabilidades, aplicando patches e atualizações regularmente.
5. Access Control: Gerencie os privilégios de acesso dos usuários e monitore atividades suspeitas.
6. Incident Response (Resposta a Incidentes): Desenvolva um plano de resposta a incidentes e teste-o regularmente.

Prioridade 3: Organizational Resilience

7. Email and Web Browser Protections: Proteja os sistemas contra malware distribuído por e-mail e por meio de navegadores.
8. MFA (Autenticação de Multifator): Implemente a autenticação de multifator sempre que possível.
9. Data Protection (Limitation) (Proteção de Dados – Limitação): Restrinja o acesso a dados confidenciais e implemente políticas de privacidade.

Prioridade 4: Continuous Improvement

10. Boundary Defense (Defesa de Limites): Estabeleça medidas de segurança nas fronteiras da rede, como firewalls e proxies.
11. Security Skills and Training (Habilidades e Treinamento de Segurança): Treine sua equipe em práticas de segurança cibernética.
12. Advanced Malware Defenses (Defesas contra Malware Avançado): Implemente medidas de detecção e prevenção de malware avançado.

Prioridade 5: Adaptive Cyber Defense

13. Secure System Engineering: Desenvolva sistemas seguros desde o início (Security by Design).
14. Security Testing (Testes de Segurança): Realize testes regulares de vulnerabilidade e penetração.
15. Incident Response (Proactive Hunt) (Resposta a Incidentes – Caça Proativa): Procure ativamente por indicadores de comprometimento em sua rede.

Prioridade 6: Privacy Protection

16. Manage Privacy (Gerenciar Privacidade): Implemente políticas e práticas de privacidade para proteger dados pessoais.
17. Secure the Supply Chain (Proteger a Cadeia de Suprimentos): Avalie e gerencie riscos de segurança na cadeia de suprimentos.
18. Governance (Governança): Estabeleça uma estrutura de governança de segurança cibernética para monitorar e gerenciar os controles.

A priorização dos controles deve levar em consideração os riscos específicos e as necessidades da organização. Comece pela implementação dos controles de prioridade 1 e, em seguida, avance para os de prioridade mais alta. Certifique-se de revisar e atualizar regularmente a conformidade com os CIS Controls v8, pois o cenário de ameaças cibernéticas está em constante evolução.

Em resumo, o CIS Controls v8 oferece uma estrutura sólida para melhorar a segurança cibernética, adaptando-se às ameaças emergentes. Priorizar a implementação desses controles ajuda a proteger os ativos da organização, reduzir riscos e manter a conformidade com regulamentos de segurança.