Implementação de controles CIS Controls V7.1

Tempo de leitura: 8 minutos

Desenvolvido pelo Center for Internet Security® (CIS), os CIS Critical Security Controls (CIS CSC ou CIS Controls) são um conjunto prioritário e prescritivo de práticas recomendadas de segurança cibernética e ações defensivas que podem ajudar a prevenir os ataques mais generalizados e perigosos e dar suporte à conformidade em uma era de múltiplas estruturas. A implementação do CIS Controls envolve práticas recomendadas ​​para uma boa política de segurança cibernética, todas formuladas por um grupo de especialistas em TI usando as informações coletadas de ataques reais e suas defesas eficazes. Os controles CIS fornecem orientação específica e um caminho claro para as organizações atingirem as metas e objetivos descritos por várias estruturas legais, regulamentares e políticas.

O CIS publica os Controles CIS para ajudar as organizações a se defenderem melhor contra ataques conhecidos, transformando os principais conceitos de segurança em controles acionáveis, ​​para obter uma maior defesa geral da segurança cibernética. É uma organização muito conceituada no setor de segurança da informação, por fazer recomendações atuais e concretas para ajudar as empresas a melhorar sua postura de segurança por meio de seus Controles de segurança críticos para defesa cibernética eficaz, anteriormente conhecidos como os 20 principais controles de segurança críticos do SANS.

A quem se aplicam os controles de segurança críticos?

Considerando que muitos padrões e regulamentos de conformidade destinados a melhorar a segurança geral podem ter um foco estreito por serem específicos do setor, o CIS CSC – atualmente em sua sétima iteração na versão 7.1 – foi criado por especialistas em várias agências governamentais e líderes do setor para ser agnóstico e universalmente aplicável.

Os benchmarks do CIS também reconhecem a realidade que a maioria das organizações enfrenta: os recursos são geralmente limitados e as prioridades da política de segurança cibernética devem ser definidas. Como tal, o CIS separa os controles em três categorias: básico, fundamental e organizacional, independentemente do tipo de setor. Essa priorização de padrões é o que diferencia as recomendações CIS CSC de outros controles e listas de segurança, que podem mencionar a priorização como uma necessidade, mas não chegam a fazer recomendações concretas.

Aproveite e baixe o nosso checklist de conformidade com CIS Controls V7.1 para começar hoje mesmo o processo de conformidade da sua empresa e continue a leitura do artigo para descobrir como atender aos controles de segurança críticos de forma ágil e eficiente.

Sobre o CIS Controls® V7.1 

Organizações em todo o mundo contam com as melhores práticas de segurança do CIS para melhorar suas defesas cibernéticas. O CIS Controls versão 7.1 apresenta uma nova orientação para priorizar a utilização de controles, conhecido como CIS Implementation Groups (IGs). Os IGs são uma maneira simples e acessível de ajudar as organizações a se classificar e focar seus recursos de segurança e experiência, aproveitando o valor dos controles CIS. CISOs, especialistas em segurança de TI, auditores de conformidade e outros usam os controles CIS para:

  • Aproveitar a experiência testada em batalhas da comunidade global de TI para se defender contra ataques cibernéticos;
  • Concentrar os recursos de segurança com base nas melhores práticas comprovadas, e não na solução de qualquer fornecedor;
  • Organizar um programa de segurança cibernética eficaz de acordo com os grupos de implementação.

Os grupos de implementação do CIS Controls

Além dos controles básicos, essenciais e organizacionais, na versão mais recente do Controles CIS, V7.1, os controles são priorizados nos Grupos de implementação (IGs). Cada IG identifica quais subcontroles são razoáveis para que uma organização implemente uma política de segurança cibernética eficaz com base em seu perfil de risco e em seus recursos disponíveis.

As organizações são incentivadas a autoavaliar e classificar-se como pertencentes a um dos três IGs para priorizar o Controles CIS para uma melhor postura de segurança cibernética. As organizações devem começar implementando os subcontroles no IG1, seguido pelo IG2 e, em seguida, pelo IG3. A implementação do IG1 deve ser considerada entre as primeiras coisas a serem feitas como parte de um programa de segurança cibernética. O CIS refere-se ao IG1 como “Higiene cibernética” – as proteções essenciais que devem ser colocadas em prática para se defender contra ataques comuns.

Grupo de Implementação 1 (IG1)

As organizações com recursos limitados onde a sensibilidade dos dados é baixa precisarão implementar os subcontroles que normalmente se enquadram na categoria IG1.

Grupo de Implementação 2 (IG2)

As organizações com recursos moderados e maior exposição a riscos para lidar com ativos e dados mais confidenciais precisarão implementar os controles IG2 juntamente com o IG1. Esses subcontroles se concentram em ajudar as equipes de segurança a gerenciar informações confidenciais de clientes ou da empresa.

Grupo de Implementação 3 (IG3)

Organizações maduras com recursos significativos e exposição de alto risco para lidar com ativos críticos e dados precisam implementar os subcontroles na categoria IG3 juntamente com IG1 e IG2. Os subcontroles que ajudam a reduzir o impacto de ataques direcionados de adversários sofisticados geralmente se enquadram no IG3.

Quantos controles de segurança críticos existem no CIS Controls?

Há 20 controles CIS ao todo, com os seis primeiros da lista priorizados como controles “básicos” que devem ser implementados por todas as organizações para preparação para a defesa cibernética. Na iteração 7, esses seis controles principais CIS são:

1) Inventário e controle de ativos de hardware

2) Inventário e controle de ativos de software

3) Gestão Contínua de Vulnerabilidade

4) Uso Controlado de Privilégios Administrativos

5) Configuração segura para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores

6) Manutenção, Monitoramento e Análise de Logs de Auditoria

Cada controle é amplo em escopo, mas se alinha com princípios sólidos: garantir que os usuários certos tenham acesso aos ativos certos e que todos os sistemas sejam mantidos atualizados e o mais robustos possível. Seguir as orientações do CIS para esses seis controles principais trará grandes benefícios, mesmo que esses sejam os únicos controles que sua organização possa implementar.

O escopo de todos os 20 principais controles de segurança críticos do CIS é abrangente em sua visão do que é necessário para uma defesa robusta da cibersegurança: a segurança nunca é apenas um problema tecnológico e as recomendações do CIS abrangem não apenas dados, software e hardware, mas também pessoas e processos. Por exemplo, as equipes de resposta a incidentes e red-teams, ambos os componentes principais de qualquer plano de defesa proativo robusto, fazem parte dos controles CIS 19 e 20, respectivamente.

Como o CIS Controls funciona junto outros padrões e frameworks dentro de uma política de segurança cibernética?

Os CIS Controls também têm compatibilidade cruzada e/ou mapeamento direto para uma série de outros padrões de conformidade e segurança, muitos dos quais são específicos do setor – incluindo NIST 800-53, PCI DSS, FISMA e HIPAA – o que significa que organizações que devem seguir estes regulamentos podem usar os controles CIS como um auxílio para a conformidade. Além disso, a NIST Cybersecurity Framework, outra ferramenta robusta comumente empregada para otimizar e fortalecer a postura de segurança de uma organização, baseia-se no CIS CSC como base para várias das melhores práticas recomendadas.

Para organizações que buscam melhorar sua postura de segurança e fortalecer suas defesas contra os vetores de ataque que provavelmente encontrarão, os Controles de Segurança Críticos do CIS são um ótimo ponto de partida para reduzir o risco de exposição e mitigar a gravidade da maioria dos tipos de ataque.

Quer começar hoje mesmo o processo de conformidade da sua empresa? Baixe o nosso checklist de conformidade com CIS Controls V7.1 e comece agora mesmo!

Implementando o CIS CSC com as soluções GAT

O conjunto de soluções de gerenciamento de TI da GAT pode ajudar sua empresa a atender aos requisitos de controle CIS e, por sua vez, ajudar a planejar e desenvolver cuidadosamente um programa de segurança da informação de primeira linha para obter uma melhor higiene cibernética.

O GAT possui uma das mais completas bases de conhecimento relacionadas à segurança da informação dentro de sua plataforma. É fácil criar novos controles utilizando nossa base de conhecimento e adequar para as suas necessidades específicas. O checklist de controles CIS está disponível em nossa base de conhecimento, assim como outros checklists como PCI-DSS, ISO 27001, ISO 27701, resolução 4.658 / 3.909 do BACEN, LGPD e avaliação de fornecedores.

Ao gerenciar os controles da política de segurança cibernética a serem implementados, temos diversas questões relacionadas à gestão de segurança da informação que precisam ser verificadas com o devido questionamento às áreas responsáveis. Veja como adereçar e acompanhar esses itens para os responsáveis através de um projeto dentro da plataforma.

Gerenciamento de Projetos

A segregação do projeto de conformidade com o CIS Controls em pacotes menores para o melhor gerenciamento das atividades é recomendada como uma boa prática de gerenciamento do projeto. Isso permite desenvolver o projeto de acordo com a necessidade de priorização e criticidade dos controles para a empresa.

A implementação de controles críticos pode ser atribuída a um determinado setor. Com a plataforma é possível descrever o escopo da entrega, indicar responsáveis e definir prazos.

Como o projeto de conformidade foi dividido em etapas menores e cada etapa possui um responsável junto com a data de entrega, é possível visualizar de forma integrada o andamento do projeto e envolver colaborativamente todos os participantes do projeto. Essa visão é ideal para reuniões de acompanhamento do projeto e para identificar prontamente os impedimentos.

O uso de checklists é recomendado quando for necessário a implementação dos controles internos desenvolvidos para a conformidade com frameworks e controles. Os checklists dentro do GAT são recursos poderosos da plataforma e são usados para acompanhar a evolução dos controles definidos de forma automatizada e integrada. 

Para iniciar a avaliação de uma aplicação com base no CIS Controls é necessário criar um projeto e associar esse checklist ao ativo do tipo aplicação que irá ser avaliado. Nossa documentação descreve esse processo em mais detalhes.

Uma vez criado, o analista de segurança ou security champion utiliza sua conta para acessar o projeto dentro do GAT e responder ao checklist.

Avaliação de fornecedores externos

Para a avaliação de fornecedores externos, podemos usar o recurso de avaliação disponibilizado pela plataforma. Esse recurso avalia o nível de conformidade dos fornecedores de serviço em relação ao framework CIS CSC e outros controles regulatórios.

É possível acompanhar o preenchimento da avaliação dos controles em tempo real, fazer comentários e anexar documentos de evidências que servem para comprovar a conformidade, criando um histórico de atividades para os controles da política de segurança cibernética.

Quando o fornecedor apresentar algum requisito em não conformidade, podemos criar uma automação para que de forma automática tenhamos conhecimento dessa informação. Assim, podemos solicitar uma tratativa para o fornecedor imediatamente, evitando uma janela maior de exposição à esse risco. Uma das vantagens em utilizar a plataforma para a avaliação de fornecedores é que as pessoas externas receberão um formulário web onde é possível descrever os controles existentes, anexar arquivos e esclarecer dúvidas em tempo real, sem precisarmos conceder acesso ao GAT. Isso já estará integrado e trazendo dados ao nosso processo de gestão de segurança na plataforma de forma ágil e eficiente. 

Enquanto isso, a área interna responsável pelo envio do controle pode acompanhar a evolução do preenchimento em tempo real e receber alertas quando sua atenção é solicitada. Essa dinâmica cria um processo colaborativo e ágil para a resolução de pequenas burocracias referentes aos controles da política de segurança cibernética.

Esse artigo explica em mais detalhes como funciona o processo de avaliação dentro da plataforma caso você queira saber mais detalhes.

Apontamentos

Os apontamentos são na plataforma GAT Core o modo que disponibilizamos as informações referentes aos diversos itens de Segurança da Informação a serem gerenciados, tais como vulnerabilidades tecnológicas, vazamento de e-mails, controles referente a implementação de conformidades, entre outras possibilidades. 

No caso dos controles do CIS CSC, cada item dos controles corresponde a um apontamento. O estado do apontamento não conforme será sempre “pendente”, enquanto o controle que estiver em conformidade terá o status de “corrigido”. Você pode alterar isso manualmente nos seus controles internos ou enviando um novo questionário para um fornecedor. 

Podemos criar uma observação ou tag, definir um plano de ação para um controle, adicionar evidências sobre a conclusão de alguma implementação, fazer comentários e visualizar um histórico de todas as ações realizadas sobre o controle, conforme demonstrado neste artigo.

Dashboards e métricas

A plataforma GAT Core é excelente para visualização de métricas específicas referente a implementação de controles de conformidade. Os dashboards são usados para verificar quais controles devem ser priorizados e qual a situação de cada controle de forma rápida e atualizada. É possível customizar novos gráficos, definir métricas e determinar a severidade dos controles relacionados à conformidade de acordo com o ativo, por exemplo. Estas métricas auxiliam áreas do negócio nas ações que devem ser tomadas diante destas implementações de controle. 

Conclusão

Nesse artigo exploramos como a plataforma GAT Core contribui com a sua conformidade em relação às leis e regulamentações vigentes, particularmente com o framework CIS CSC para a criação de controles da política de segurança cibernética. Muitas empresas ainda fazem uso de sistemas ineficientes ou planilhas desconexas para o gerenciamento dos seus controles de segurança e conformidade. Esses recursos não apresentam de forma clara a evolução dos projetos e não possuem histórico de alterações importantes para apresentação a auditorias.

O GAT Core foi construído para automatizar processos, realizar a comunicação e rastreabilidade dos apontamentos. Contribui com uma visão ágil das informações para priorização na tomada de decisão e gerenciamento dos processos de conformidade com visibilidade centralizada. Seus recursos tornam a implementação de controles dentro da empresa muito mais eficiente e menos custosa, proporcionando uma economia de tempo através do ganho de eficiência e de dinheiro já que com GAT não é necessário uma consultoria externa ou recurso extra para avaliar a conformidade de terceiros. 
Nossa base de conhecimento está em constante atualização e expansão com as principais leis e regulamentos relacionados à segurança cibernética pelo mundo. Aproveite e baixe o nosso checklist de conformidade com CIS Controls V7.1 para começar hoje mesmo o processo de conformidade da sua empresa. Agende uma demonstração e saiba como desenvolver um processo de conformidade eficiente e seguro.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200

+55 (11) 4395-1322
Copyright © 2021