CIS Controls

Descrição Geral

Os CIS Controls, também conhecidos como CIS Critical Security Controls (CIS CSC), são um conjunto de 18 controles de segurança recomendados que abordam as áreas mais críticas de defesa cibernética. Eles fornecem orientações detalhadas sobre as melhores práticas de segurança, ajudando as organizações a proteger seus sistemas e dados contra ataques cibernéticos. Os controles são baseados em dados sobre as táticas, técnicas e procedimentos dos atacantes, e são projetados para serem práticos e aplicáveis a qualquer organização, independentemente do tamanho ou setor.

Origem e Desenvolvimento

Os CIS Controls foram inicialmente desenvolvidos pelo SANS Institute e, em 2013, sua responsabilidade foi transferida para o Center for Internet Security (CIS). A ideia por trás dos controles surgiu da necessidade de ter um conjunto específico de práticas recomendadas que as organizações pudessem implementar para se protegerem contra as ameaças mais comuns. A versão 8 dos CIS Controls, lançada em maio de 2021, reflete as mudanças no ambiente de trabalho moderno, incluindo o aumento do trabalho remoto e a evolução das tecnologias baseadas em nuvem.

Componentes Principais

Os CIS Controls Versão 8 são divididos em 18 categorias principais, cada uma focada em uma área específica de segurança cibernética:

1. Inventário e Controle de Ativos Empresariais:
2. Inventário e Controle de Ativos de Software:
3. Proteção de Dados:
4. Configuração Segura para Softwares e Ativos Corporativos:
5. Gestão e Gerenciamento de Contas:
6. Gestão e Controle de Acessos
7. Gestão Continua de Vulnerabilidades
8. Gestão de Logs de Auditoria:
9. Proteções para Email e Web Browsers
10. Defesas Anti Malware
11. Recuperação de Dados
12. Gestão de Infraestrtura de Redes
13. Monitoramento e Defesa de Redes
14. Conscientização de Segurança e Treinamento de Habilidades
15. Gestão de Provedores de Serviço
16. Segurança para Software e Aplicações
17. Gestão de Resposta a Incidentes
18. Testes de Penetração

Metodologia e Abordagem

A metodologia dos CIS Controls é baseada em uma abordagem prática e priorizada, organizada em três categorias principais:

• Controles Básicos: Medidas essenciais que qualquer organização deve implementar para proteger seus ativos.
• Controles Fundamentais: Medidas que fornecem uma defesa adicional e aprofundada contra ameaças.
• Controles Organizacionais: Políticas e procedimentos que suportam a segurança cibernética robusta e sustentável.

A implementação dos controles segue uma abordagem em camadas, começando com as medidas mais básicas e avançando para controles mais complexos conforme a maturidade da segurança da organização cresce.

Aplicabilidade e Casos de Uso

Os CIS Controls são aplicáveis a organizações de todos os tamanhos e setores. Exemplos de casos de uso incluem:

• Pequenas Empresas: Podem usar os controles básicos para estabelecer uma base sólida de segurança cibernética.
• Grandes Corporações: Podem implementar todos os 18 controles para uma defesa cibernética abrangente.
• Instituições Governamentais: Podem usar os controles para proteger informações sensíveis e cumprir regulamentos de segurança.
• Setor de Saúde: Pode usar os controles para proteger dados de pacientes e cumprir com a HIPAA.

Benefícios e Vantagens

Os principais benefícios dos CIS Controls incluem:

• Priorização Eficiente: Foco nas ações mais eficazes contra ameaças comuns.
• Facilidade de Implementação: Orientações claras e práticas para implementação.
• Melhoria Contínua: Estrutura que permite a evolução contínua das práticas de segurança.
• Compatibilidade com Outros Padrões: Pode ser usado em conjunto com outros frameworks de segurança como ISO/IEC 27001 e NIST CSF.
• Redução de Riscos: Ajuda a mitigar riscos e melhorar a resiliência cibernética.

Limitações e Considerações

Algumas limitações e considerações ao utilizar os CIS Controls são:

• Recursos Necessários: Implementar todos os controles pode exigir recursos significativos, especialmente para organizações menores.
• Adaptação a Contextos Específicos: Pode ser necessário adaptar os controles às necessidades e ao contexto específico da organização.
• Manutenção Contínua: Requer monitoramento e atualização contínuos para permanecer eficaz.

Comparação com Outros Frameworks

Comparado a outros frameworks como ISO/IEC 27001 e NIST CSF, os CIS Controls são mais específicos e práticos, fornecendo ações diretas para implementação. Enquanto o ISO/IEC 27001 oferece uma abordagem mais formal e baseada em processos, e o NIST CSF oferece flexibilidade, os CIS Controls são frequentemente usados como um complemento para fornecer uma base prática e ação imediata.

Implementação e Adaptação

Para implementar os CIS Controls, as organizações devem:

1. Avaliar o Estado Atual: Realizar uma avaliação inicial das práticas de segurança existentes.
2. Priorizar os Controles: Começar com os controles básicos e avançar para controles mais complexos conforme a maturidade da segurança aumenta.
3. Desenvolver um Plano de Ação: Definir um plano de implementação detalhado com prioridades e cronogramas.
4. Implementar os Controles: Executar as ações de segurança conforme o plano.
5. Monitorar e Avaliar: Continuamente monitorar a eficácia dos controles e fazer ajustes conforme necessário.

Recursos Adicionais

• CIS Controls Overview
• CIS Controls Implementation Guide
• CIS Controls Workbook
• CIS SecureSuite Membership
• CIS Controls Community