O CIS Controls (Center for Internet Security Controls) é um conjunto de práticas de segurança cibernética desenvolvido para auxiliar organizações a melhorar sua postura de segurança e proteger seus ativos de informações contra ameaças cibernéticas sendo o CIS Controls v8 a versão mais recente desse conjunto de controles, projetado para se adaptar às mudanças no cenário de ameaças cibernéticas e abordar os desafios de segurança emergentes.
O que é o CIS Controls v8?
O CIS Controls v8 é um conjunto de 18 controles de segurança que abrange uma variedade de áreas, desde a gestão de ativos até a proteção contra ameaças avançadas. Esses controles fornecem uma estrutura sólida para ajudar as organizações a identificar, proteger, detectar, responder e recuperar-se de ameaças cibernéticas. A importância de adotar o CIS Controls v8 reside em sua capacidade de fornecer um guia claro e acionável para melhorar a segurança cibernética.
Por que adotar o CIS Controls v8?
- Redução de Riscos: A adoção dos CIS Controls ajuda a reduzir os riscos de segurança cibernética, tornando mais difícil para os atacantes explorarem vulnerabilidades conhecidas. Priorizar esses controles ajuda a proteger ativos críticos e dados confidenciais.
- Compreensão das Ameaças: Os CIS Controls v8 são baseados em dados sobre as ameaças cibernéticas mais recentes. Isso significa que eles abordam as táticas e técnicas usadas por atacantes atualmente, permitindo que as organizações estejam melhor preparadas.
- Melhor Conformidade: Muitos regulamentos e padrões de segurança, como o GDPR e o NIST Cybersecurity Framework, recomendam ou exigem a implementação de controles de segurança semelhantes aos do CIS Controls. Portanto, adotar esses controles pode ajudar na conformidade regulatória.
CIS Controls v8 – Priorizando as Ações
Apresentamos aqui os 18 controles do CIS Controls v8, listados por prioridade, juntamente com comentários e pontos de atenção para cada um:
Prioridade 1: Basic Cyber Hygiene
- Inventory and Control of Assets (Controle e Inventário de Ativos): Este controle é fundamental, pois você não pode proteger o que não conhece. Identifique, categorize e priorize ativos.
- Data Protection: Proteja dados confidenciais e críticos com medidas de criptografia, controle de acesso e políticas de retenção.
- Secure Configuration: Configure sistemas e software de acordo com as melhores práticas de segurança.
Prioridade 2: Foundational Security Controls
- Vulnerability Management: Identifique, avalie e priorize vulnerabilidades, aplicando patches e atualizações regularmente.
- Access Control: Gerencie os privilégios de acesso dos usuários e monitore atividades suspeitas.
- Incident Response (Resposta a Incidentes): Desenvolva um plano de resposta a incidentes e teste-o regularmente.
Prioridade 3: Organizational Resilience
- Email and Web Browser Protections: Proteja os sistemas contra malware distribuído por e-mail e por meio de navegadores.
- MFA (Autenticação de Multifator): Implemente a autenticação de multifator sempre que possível.
- Data Protection (Limitation) (Proteção de Dados – Limitação): Restrinja o acesso a dados confidenciais e implemente políticas de privacidade.
Prioridade 4: Continuous Improvement
- Boundary Defense (Defesa de Limites): Estabeleça medidas de segurança nas fronteiras da rede, como firewalls e proxies.
- Security Skills and Training (Habilidades e Treinamento de Segurança): Treine sua equipe em práticas de segurança cibernética.
- Advanced Malware Defenses (Defesas contra Malware Avançado): Implemente medidas de detecção e prevenção de malware avançado.
Prioridade 5: Adaptive Cyber Defense
- Secure System Engineering: Desenvolva sistemas seguros desde o início (Security by Design).
- Security Testing (Testes de Segurança): Realize testes regulares de vulnerabilidade e penetração.
- Incident Response (Proactive Hunt) (Resposta a Incidentes – Caça Proativa): Procure ativamente por indicadores de comprometimento em sua rede.
Prioridade 6: Privacy Protection
- Manage Privacy (Gerenciar Privacidade): Implemente políticas e práticas de privacidade para proteger dados pessoais.
- Secure the Supply Chain (Proteger a Cadeia de Suprimentos): Avalie e gerencie riscos de segurança na cadeia de suprimentos.
- Governance (Governança): Estabeleça uma estrutura de governança de segurança cibernética para monitorar e gerenciar os controles.
A priorização dos controles deve levar em consideração os riscos específicos e as necessidades da organização. Comece pela implementação dos controles de prioridade 1 e, em seguida, avance para os de prioridade mais alta. Certifique-se de revisar e atualizar regularmente a conformidade com os CIS Controls v8, pois o cenário de ameaças cibernéticas está em constante evolução.
Em resumo, o CIS Controls v8 oferece uma estrutura sólida para melhorar a segurança cibernética, adaptando-se às ameaças emergentes. Priorizar a implementação desses controles ajuda a proteger os ativos da organização, reduzir riscos e manter a conformidade com regulamentos de segurança.