(Tempo de Leitura: 13 min.)

Desenvolvido pelo Center for Internet Security® (CIS), os CIS Controls são um conjunto prioritário e prescritivo de práticas recomendadas de segurança cibernética e ações defensivas que podem ajudar a prevenir os ataques mais generalizados e perigosos, dando suporte à conformidade em uma era de múltiplas estruturas. São desenvolvidos por uma organização extremamente respeitada e conceituada no setor de segurança da informação, por fazer recomendações atuais e concretas para ajudar as organizações a melhorar sua postura de segurança por meio de determinados controles de segurança, críticos para uma defesa cibernética eficaz.

Trata-se de uma publicação de diretrizes e práticas recomendadas para segurança de computadores, constantemente atualizada e revisada, cujo projeto foi iniciado no início de 2008 em resposta a perdas extremas de dados ocorridas em organizações na base industrial de defesa dos EUA. A publicação foi inicialmente desenvolvida pelo SANS Institute e a propriedade foi, então, transferida para o Conselho de Segurança Cibernética (CCS) em 2013 e, em seguida, para o Centro de Segurança da Internet (CIS) em 2015.

Sua implementação envolve práticas recomendadas ​​para uma boa política de segurança cibernética, todas formuladas por um grupo de especialistas em TI e SI utilizando informações coletadas em ataques reais e defesas eficazes. Eles fornecem orientação específica e um caminho claro para as organizações atingirem as metas e objetivos descritos por várias estruturas legais, regulamentares e políticas.

Anteriormente conhecidos como os 20 principais controles de segurança críticos do SANS, o CIS Controls ajuda as organizações a melhorarem suas defesas contra ataques cibernéticos conhecidos, transformando os principais conceitos de segurança em controles acionáveis, ​​com o objetivo de obter um maior nível de capacidade geral para defesa em segurança cibernética.

O Center for Internet Security® (CIS) se esforça para manter o CIS Controls relevante, atualizando-o com base em comentários, tecnologias em evolução e cenário de ameaças em constante mudança. Conforme identificou mais organizações migrando para serviços em nuvem, bem como o aumento exponencial do trabalho remoto, percebeu que era hora de revisitar os controles e as proteções de suporte (conhecidas como Subcontroles nas versões anteriores) para garantir que as recomendações forneçam sempre orientações para uma defesa cibernética eficaz. O resultado é o CIS Controls V8, versão que inclui recomendações atualizadas para:

  • Computação baseada em nuvem
  • Ambientes móveis
  • Mudanças nas táticas de ataque

Especificações da nova atualização

Junto com a simplificação dos controles na oitava versão, o CIS simplificou o nome para “CIS Controls” (Controles CIS). Anteriormente chamados de “Controles Críticos de Segurança SANS”, “SANS Top 20”, “Controles Críticos de Segurança CIS” e “CIC CSC”, os controles consolidados agora são, oficialmente, chamados de“CIS Controls”, nomenclatura mais utilizada por profissionais de Segurança da Informação.

O CIS Controls V8 combina e consolida os controles por atividades, em vez de por quem gerencia os dispositivos. Dispositivos físicos, limites fixos e ilhas discretas de implementação de segurança passam a ser vistos com menos importância, o que se reflete nesta versão por meio da terminologia revisada e do agrupamento de salvaguardas. O resultado é uma diminuição de controles e salvaguardas para 18 controles, ao invés de 20, estes compostos de 153 salvaguardas, frente às 171 anteriores.

(Diagrama oficial das alterações entre a versão 7.1 e a versão 8. Fonte: Center for Internet Security®)
(Diagrama oficial das alterações entre a versão 7.1 e a versão 8. Fonte:Center for Internet Security®)

Cada salvaguarda pede “uma coisa”, sempre que possível, de forma que seja clara e necessite mínima interpretação por parte do usuário. Além disso, cada uma se concentra em ações mensuráveis ​​e define a medição como parte do processo. Sabendo que é importante para as empresas acompanhar a implementação dos controles, o Center for Internet Security® (CIS) também atualizou a Ferramenta de Autoavaliação de Controles CIS (CSAT) para oferecer suporte à versão 8.

A quem se aplicam os controles de segurança críticos?

OCIS Controls foi criado para estabelecer um padrão mínimo dentro da gestão de Segurança da Informação para empresas privadas nos EUA, especificamente aquelas com a intenção de fornecer seus produtos e serviços ao governo americano. Com o tempo, passou a ser um dos padrões mais aceitos no mercado mundial em termos de padronização de procedimentos em SI. Considerando que muitos padrões e regulamentos de conformidade destinados a melhorar a segurança geral podem ter um foco estreito por serem específicos do setor, o CIS CSC – atualmente em sua oitava iteração – foi criado por especialistas em várias agências governamentais e líderes do setor para ser agnóstico e universalmente aplicável.

Os benchmarks do CIS também reconhecem a realidade que a maioria das organizações enfrenta: os recursos são geralmente limitados e as prioridades da política de segurança cibernética devem ser definidas. Como tal, o CIS separa os controles em três categorias: básico, fundamental e organizacional, independentemente do tipo de setor. Essa priorização de padrões é o que diferencia suas recomendações de outros controles, frameworks e listas de segurança, que podem mencionar a priorização como uma necessidade, mas não chegam a fazer recomendações concretas.

Aproveite e baixe o nosso checklist de conformidade com o CIS Controls V8 para começar hoje mesmo o processo de conformidade da sua empresa e continue a leitura do artigo para descobrir como atender aos controles de segurança críticos de forma ágil e eficiente.

Sobre o CIS Controls® V8 

Organizações em todo o mundo contam com as melhores práticas de segurança do CIS para melhorar suas defesas cibernéticas. O CIS Controls versão 8 apresenta uma orientação herdada da versão anterior para priorizar a utilização de controles, conhecido como CIS Implementation Groups (IGs). Os IGs, ou grupos de implementação, são uma maneira simples e acessível de ajudar as organizações a se classificar e focar seus recursos de segurança e experiência, aproveitando o valor dos controles CIS. CISOs, especialistas em segurança de TI, auditores de conformidade e outros usam os controles CIS para:

  • Aproveitar a experiência testada em batalhas da comunidade global de TI para se defender contra ataques cibernéticos;
  • Concentrar os recursos de segurança com base nas melhores práticas comprovadas, e não na solução de qualquer fornecedor;
  • Organizar um programa de segurança cibernética eficaz de acordo com os grupos de implementação.

Quantos controles de segurança críticos existem no CIS Controls?

Há 18 controles CIS ao todo, com os seis primeiros da lista priorizados como controles “básicos” que devem ser implementados por todas as organizações para preparação para a defesa cibernética. Esses seis controles principais CIS são:

1) Inventário e controle de ativos de hardware

2) Inventário e controle de ativos de software

3) Gestão Contínua de Vulnerabilidade

4) Uso Controlado de Privilégios Administrativos

5) Configuração segura para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores

6) Manutenção, Monitoramento e Análise de Logs de Auditoria

Cada controle é amplo em escopo, mas se alinha com princípios sólidos: garantir que os usuários certos tenham acesso aos ativos certos e que todos os sistemas sejam mantidos atualizados e o mais robustos possível. Seguir as orientações do CIS para esses seis controles principais trará grandes benefícios, mesmo que esses sejam os únicos controles que sua organização possa implementar.

O escopo de todos os 18 principais controles de segurança críticos do CIS é abrangente em sua visão do que é necessário para uma defesa robusta da cibersegurança: a segurança nunca é apenas um problema tecnológico e as recomendações do CIS abrangem não apenas dados, software e hardware, mas também pessoas e processos. Por exemplo, as equipes de resposta a incidentes e red-teams, ambos os componentes principais de qualquer plano de defesa proativo robusto, fazem parte dos controles CIS 17 e 18, respectivamente.

Os grupos de implementação do CIS Controls

Além dos controles básicos, essenciais e organizacionais, os controles são priorizados nos Grupos de implementação (IGs), que são as orientações recomendadas para priorizar a implementação dos controles CIS. Cada IG identifica quais subcontroles são razoáveis para que uma organização implemente uma política de segurança cibernética eficaz com base em seu perfil de risco e em seus recursos disponíveis.

As organizações são incentivadas a autoavaliar e classificar-se como pertencentes a um dos três IGs para priorizar o Controles CIS para uma melhor postura de segurança cibernética. As organizações devem começar implementando os subcontroles no IG1, seguido pelo IG2 e, em seguida, pelo IG3. A implementação do IG1 deve ser considerada entre as primeiras coisas a serem feitas como parte de um programa de segurança cibernética. O CIS refere-se ao IG1 como “Higiene cibernética” – as proteções essenciais que devem ser colocadas em prática para se defender contra ataques comuns.

Grupo de Implementação 1 (IG1)

As organizações com recursos limitados onde a sensibilidade dos dados é baixa precisarão implementar os subcontroles que normalmente se enquadram na categoria IG1.

O IG1 é a porta de entrada ao CIS Controls e consiste em um conjunto básico de 56 salvaguardas de defesa cibernética. As salvaguardas incluídas no IG1 são o que toda empresa deve aplicar para se defender contra os ataques mais comuns. O CIS Controls V8 define o Grupo de Implementação 1 (IG1) como higiene cibernética básica e representa um padrão mínimo emergente de segurança da informação para todas as empresas.

Grupo de Implementação 2 (IG2)

As organizações com recursos moderados e maior exposição a riscos para lidar com ativos e dados mais confidenciais precisarão implementar os controles IG2 juntamente com o IG1. Esses subcontroles se concentram em ajudar as equipes de segurança a gerenciar informações confidenciais de clientes ou da empresa. O IG2 compreende 74 salvaguardas adicionais e se baseia nas 56 salvaguardas identificadas no IG1. As 74 proteções selecionadas para o IG2 podem ajudar as equipes de segurança a lidar com o aumento da complexidade operacional. Algumas proteções dependerão de tecnologia de nível empresarial e conhecimento especializado para instalar e configurar adequadamente.

Uma empresa que usa o IG2 normalmente emprega indivíduos responsáveis ​​por gerenciar e proteger a infraestrutura de TI. Essas empresas geralmente oferecem suporte a vários departamentos com perfis de risco diferentes com base na função e na missão do trabalho. As unidades de pequenas empresas podem ter encargos de conformidade regulamentar. As empresas que utilizam o IG2 geralmente armazenam e processam informações confidenciais de clientes ou empresas e podem resistir a curtas interrupções de serviço. Uma grande preocupação é a perda de confiança do público se ocorrer uma violação.

Grupo de Implementação 3 (IG3)

Organizações maduras com recursos significativos e exposição de alto risco para lidar com ativos críticos e dados precisam implementar os subcontroles na categoria IG3 juntamente com IG1 e IG2. O IG3 inclui 23 salvaguardas adicionais. Baseia-se nas salvaguardas identificadas em IG1 (56) e IG2 (74), totalizando as 153 salvaguardas no CIS Controls V8. As proteções selecionadas para o IG3 devem diminuir os ataques direcionados de um adversário sofisticado e reduzir o impacto dos ataques do tipo “zero-day”.

Uma empresa que utiliza o IG3 geralmente emprega especialistas em segurança especializados nas diferentes facetas da segurança cibernética (por exemplo, gerenciamento de risco, teste de penetração, segurança de aplicativo). Os ativos e dados do IG3 contêm informações ou funções confidenciais que estão sujeitas à supervisão regulatória e de conformidade. Uma empresa que utiliza o IG3 deve abordar a disponibilidade de serviços e a confidencialidade e integridade dos dados sensíveis.

Como o CIS Controls funciona junto a outros padrões e frameworks dentro de uma política de segurança cibernética?

Os CIS Controls também têm compatibilidade cruzada e/ou mapeamento direto para uma série de outros padrões de conformidade e segurança, muitos dos quais são específicos do setor – incluindo NIST 800-53, PCI DSS, FISMA e HIPAA – o que significa que organizações que devem seguir estes regulamentos podem usar os controles CIS como um auxílio para a conformidade. Além disso, a NIST Cybersecurity Framework, outra ferramenta robusta comumente empregada para otimizar e fortalecer a postura de segurança de uma organização, baseia-se no CIS CSC como base para várias das melhores práticas recomendadas.

Para organizações que buscam melhorar sua postura de segurança e fortalecer suas defesas contra os vetores de ataque que provavelmente encontrarão, os Controles de Segurança Críticos do CIS são um ótimo ponto de partida para reduzir o risco de exposição e mitigar a gravidade da maioria dos tipos de ataque.

Quer começar hoje mesmo o processo de conformidade da sua empresa? Baixe o nosso checklist de conformidade com CIS Controls V8 e comece agora mesmo!

Gerenciamento de Projetos de Conformidade

A segregação do projeto de conformidade com o CIS Controls em pacotes menores para o melhor gerenciamento das atividades é recomendada como uma boa prática de gerenciamento do projeto. Isso permite desenvolver o projeto de acordo com a necessidade de priorização e criticidade dos controles para a empresa. A implementação de controles críticos pode ser atribuída a um determinado setor e, com a plataforma é possível descrever o escopo da entrega, indicar responsáveis e definir prazos.

Como o projeto de conformidade foi dividido em etapas menores e cada etapa possui um responsável junto com a data de entrega, é possível visualizar de forma integrada o andamento do projeto e envolver colaborativamente todos os participantes do projeto. Essa visão é ideal para reuniões de acompanhamento do projeto e para identificar prontamente os impedimentos.

O uso de checklists é recomendado quando for necessário a implementação dos controles internos desenvolvidos para a conformidade com frameworks e controles. Os checklists dentro do GAT Core são recursos poderosos da plataforma e são usados para acompanhar a evolução dos controles definidos de forma automatizada e integrada. 

Para iniciar a avaliação de uma aplicação com base no CIS Controls é necessário apenas criar um projeto e associar esse checklist ao ativo do tipo aplicação que irá ser avaliado. Nossa documentação descreve esse processo em mais detalhes. Uma vez criado, o analista de segurança ou utiliza sua conta para acessar o projeto dentro do GAT Core e responder ao checklist.

Acelerando a gestão de conformidade

Como você deve imaginar, não é fácil controlar todos esses processos e informações. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre o projeto. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto de compliance é utilizar uma plataforma de gestão integrada de segurança da informação e conformidade como o GAT Core

É possível importar planilhas na forma de um checklist associado a um projeto, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão. O GAT Core  também envia um questionário para coleta de dados de outras áreas da empresa de forma prática, ágil e com rastreabilidade, auxiliando o preenchimento dos controles e reduzindo sensivelmente o tempo de adequação aos controles.

Além do CIS Controls,GAT Core já inclui checklists de compliance como NIST, OWASP ASVS, ISO 27001, ISO 27701, LGPD, GDPR, PCI-DSS e Bacen 4.893 e 3.909, entre outros, facilitando e gerando economia significativa de custos em processos de auditoria. Para entender como funciona, solicite uma demonstração para saber como importar nossa planilha como um checklist pode dar uma visão integrada da gestão de conformidade.

Agilize o processo de adequação e centralizar todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas. 

Plataformas para Gestão de Conformidade

O investimento em ferramentas de gestão e conformidade é visto como um grande diferencial para todo tipo de operação que necessita se adequar a leis e regulações. A plataforma GAT Core auxilia no controle da implantação, adequação e conformidade, por meio da aplicação de questionários, geração de índices, gráficos e dashboards, realização de verificações periódicas, identificação dos pontos fortes e fracos em seus processos e muito mais, ajudando a empresa a ficar mais perto de atingir o nível de conformidade que deseja. 

Tenha todos os seus controles e acompanhamento de conformidade com frameworks, boas práticas, leis e regulações, realizando a gestão dos seus ativos em uma única ferramenta. Agende uma demonstração da plataforma GAT Core e saiba como a ferramenta pode desempenhar um papel estratégico na gestão de seus processos dentro da sua equipe de compliance e cibersegurança, colaborando com a formação dos profissionais e trazendo conhecimento para a empresa.

Implementando o CIS CSC com as soluções GAT

O conjunto de soluções de gerenciamento de SI da GAT pode ajudar sua empresa a atender aos requisitos de controle CIS e, por sua vez, ajudar a planejar e desenvolver cuidadosamente um programa de segurança da informação de primeira linha para obter uma melhor higiene cibernética.

O GAT Core possui uma das mais completas bases de conhecimento relacionadas à segurança da informação dentro de sua plataforma. Nele é fácil criar novos controles utilizando nossa base de conhecimento e adequar para as suas necessidades específicas. O checklist de controles CIS está disponível em nossa base de conhecimento, assim como outros checklists como PCI-DSS, ISO 27001, ISO 27701, resolução 4.893/3.909 do BACEN, LGPD e avaliação de fornecedores.

Ao gerenciar os controles da política de segurança cibernética a serem implementados, temos diversas questões relacionadas à gestão de segurança da informação que precisam ser verificadas com o devido questionamento às áreas responsáveis. Por isso, é possível adereçar e acompanhar esses itens junto aos responsáveis por meio de um projeto dentro da plataforma e das funções colaborativas.

Avaliação de fornecedores externos

Para a avaliação de fornecedores externos, podemos usar o recurso de avaliação disponibilizado pela plataforma. Esse recurso avalia o nível de conformidade dos fornecedores de serviço em relação ao frameworkCIS Controls e outros controles regulatórios.

É possível acompanhar o preenchimento da avaliação dos controles em tempo real, fazer comentários e anexar documentos de evidências que servem para comprovar a conformidade, criando um histórico de atividades para os controles da política de segurança cibernética.

Quando o fornecedor apresentar algum requisito em não conformidade, podemos criar uma automação para que de forma automática tenhamos conhecimento dessa informação. Assim, podemos solicitar uma tratativa para o fornecedor imediatamente, evitando uma janela maior de exposição à esse risco. Uma das vantagens em utilizar a plataforma para a avaliação de fornecedores é que as pessoas externas receberão um formulário web onde é possível descrever os controles existentes, anexar arquivos e esclarecer dúvidas em tempo real, sem precisarmos conceder acesso ao GAT Core. Isso já estará integrado e trazendo dados ao nosso processo de gestão de segurança na plataforma de forma ágil e eficiente. 

Enquanto isso, a área interna responsável pelo envio do controle pode acompanhar a evolução do preenchimento em tempo real e receber alertas quando sua atenção é solicitada. Essa dinâmica cria um processo colaborativo e ágil para a resolução de pequenas burocracias referentes aos controles da política de segurança cibernética.

Esse artigo explica em mais detalhes como funciona o processo de avaliação dentro da plataforma caso você queira saber mais detalhes.

Apontamentos

Os apontamentos são na plataforma GAT Core o modo que disponibilizamos as informações referentes aos diversos itens de Segurança da Informação a serem gerenciados, tais como vulnerabilidades tecnológicas, vazamento de e-mails, controles referente a implementação de conformidades, entre outras possibilidades. 

No caso doCIS Controls, cada item dos controles corresponde a um apontamento. O estado do apontamento não conforme será sempre “pendente”, enquanto o controle que estiver em conformidade terá o status de “corrigido”. Você pode alterar isso manualmente nos seus controles internos ou enviando um novo questionário para um fornecedor. 

Podemos criar uma observação ou tag, definir um plano de ação para um controle, adicionar evidências sobre a conclusão de alguma implementação, fazer comentários e visualizar um histórico de todas as ações realizadas sobre o controle, conforme demonstrado neste artigo.

Dashboards e métricas

A plataforma GAT Core é excelente para visualização de métricas específicas referente a implementação de controles de conformidade. Os dashboards são usados para verificar quais controles devem ser priorizados e qual a situação de cada controle de forma rápida e atualizada. É possível customizar novos gráficos, definir métricas e determinar a severidade dos controles relacionados à conformidade de acordo com o ativo, por exemplo. Estas métricas auxiliam áreas do negócio nas ações que devem ser tomadas diante destas implementações de controle. 

Conclusão

Nesse artigo exploramos oCIS Controls e como a plataforma GAT Core contribui com a sua conformidade em relação às leis e regulamentações vigentes, particularmente com o framework CIS CSC para a criação de controles da política de segurança cibernética. Muitas empresas ainda fazem uso de sistemas ineficientes ou planilhas desconexas para o gerenciamento dos seus controles de segurança e conformidade. Esses recursos não apresentam de forma clara a evolução dos projetos e não possuem histórico de alterações importantes para apresentação a auditorias.

O GAT Core foi construído para automatizar processos, realizar a comunicação e rastreabilidade dos apontamentos. Contribui com uma visão ágil das informações para priorização na tomada de decisão e gerenciamento dos processos de conformidade com visibilidade centralizada. Seus recursos tornam a implementação de controles dentro da empresa muito mais eficiente e menos custosa, proporcionando uma economia de tempo através do ganho de eficiência e de dinheiro já que com ele não é necessário uma consultoria externa ou recurso extra para avaliar a conformidade de terceiros. 
Nossa base de conhecimento está em constante atualização e expansão com as principais leis e regulamentos relacionados à segurança cibernética pelo mundo. Aproveite e baixe o nosso checklist de conformidade com CIS Controls V8 para começar hoje mesmo o processo de conformidade da sua empresa. Agende uma demonstração e saiba como desenvolver um processo de conformidade eficiente e seguro.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos