Imagem de destaque

Escrito por: David Zanetti

Quando: 18 de junho de 2024

CIS Controls: um caminho essencial para higiene cibernética na sua empresa

A segurança da informação tornou-se uma preocupação central para a área de TI. Diversos parceiros da Promove vêm relatando a demanda frequente de seus clientes para que apresentem relatórios, questionários de due diligences, por exemplo, com a descrição dos controles de segurança da informação em prática na empresa.

Tal demanda surge com a preocupação quanto aos riscos associados ao compartilhamento de dados entre empresas e fornecedores, impulsionada pelo risco de terem suas reputações arranhadas por falhas graves de segurança e vazamentos de dados sigilosos.

É importante lembrar que, em artigos anteriores, falamos sobre o tema, destacando a importância não apenas da governança corporativa, mas também dos controles técnicos que as organizações devem implementar para reduzir o risco de invasões, vazamentos de dados e outros incidentes de segurança.

Muitas empresas, no entanto, não têm clareza de quais controles necessários e detalhes sobre como implementá-los. Nestes casos, é comum recomendarmos aos nossos parceiros que deem atenção aos CIS Controls.

 

O que é CIS Controls?

O CIS Controls, ou Center for Internet Security Controls, são um conjunto de práticas recomendadas para fortalecer a segurança cibernética de organizações. Desenvolvidos pela Center for Internet Security (CIS), uma organização sem fins lucrativos, esses controles são projetados para ajudar as organizações na proteção contra as ameaças cibernéticas mais comuns, sendo amplamente reconhecidos e utilizados como padrão na indústria.

Ao implementar os CIS Controls, uma organização cria uma base de acesso para cumprir regulamentações comuns do setor, como PCI DSS, HIPAA, GDPR (LGPD Européia), ISO 27001, entre outras.

 

Objetivos 

Os objetivos almejados com a implementação desses controles incluem:

  1. Redução de Vulnerabilidades: identificar e mitigar vulnerabilidades em sistemas e redes.
  2. Proteção de Dados: garantir a segurança dos dados sensíveis e críticos.
  3. Defesa contra Ameaças: implementar medidas para detectar, prevenir e responder a ataques cibernéticos.

É evidente o alinhamento desses objetivos com as metas estratégicas de qualquer empresa de TI, não é verdade?

 

Estrutura dos CIS Controls

Os controles técnicos são divididos em três categorias principais denominadas Grupos de Implementação (IGs), que refletem a maturidade e o nível de prioridade das práticas de segurança. Esses grupos representam uma visão horizontal dos controles adaptados a diferentes tipos de empresas.

Especificamente, definimos IG1 como “higiene cibernética essencial”, o conjunto fundamental de salvaguardas de defesa cibernética que toda empresa deve aplicar. Cada IG baseia-se no anterior: IG2 inclui IG1 e o IG3 inclui todas as salvaguardas anteriores.

  • IG1 – Controles Básicos: Foco nas medidas essenciais que todas as organizações devem implementar para uma base sólida de segurança.
  • IG2 – Controles Fundamentais: Medidas adicionais que aumentam a segurança para organizações que já possuem os controles básicos.
  • IG3 – Controles Organizacionais: Práticas avançadas para organizações que têm um programa de segurança mais maduro e robusto.

 

Requisitos

Os CIS Controls são compostos por 18 controles principais, cada um subdividido em diversas práticas específicas chamadas de “Salvaguardas” ou “Subcontroles”. Alguns exemplos incluem:

  • Inventário e Controle de Ativos de Hardware: Manter um inventário atualizado de todos os dispositivos físicos na rede.
  • Inventário e Controle de Ativos de Software: Manter um inventário de todos os softwares autorizados e não autorizados.
  • Gestão de Vulnerabilidades Contínua: Realizar avaliações regulares de vulnerabilidades e aplicar patches de segurança.
  • Controle de Acesso Administrativo: Implementar políticas rigorosas de controle de acesso para usuários com privilégios administrativos.
  • Proteção de Dados: Implementar medidas para proteger dados sensíveis durante a transmissão e o armazenamento.

Para mais detalhes sobre os demais controles, visite a página oficial do Center for Internet Security e baixe o PDF ou a planilha Excel com os controles completos. 

 

Utilização Prática

A implementação dos CIS Controls pode ser realizada em etapas, começando pelas mais básicas e avançando conforme a maturidade da organização. Um plano típico de implementação pode incluir:

  1. Avaliação Inicial: Realizar uma avaliação inicial para identificar lacunas na segurança com base nos CIS Controls.
  2. Priorização: Focar nos controles básicos primeiro, garantindo que a organização tenha uma base sólida de segurança.
  3. Implementação: Aplicar os controles recomendados, começando pelos mais críticos.
  4. Monitoramento e Manutenção: Monitorar continuamente a eficácia dos controles e ajustar conforme necessário.
  5. Treinamento e Conscientização: Treinar funcionários e partes interessadas sobre as práticas de segurança e a importância dos CIS Controls.

 

Benefícios dos CIS Controls

Alguns benefícios que uma organização pode esperar ao se basear nos CIS Controls para aumentar a sua segurança da informação:

  • Padronização: Fornece um conjunto de práticas padronizadas que são reconhecidas globalmente.
  • Eficácia: Foca em medidas comprovadamente eficientes para mitigar as ameaças mais comuns.
  • Adaptabilidade: Pode ser adaptado para organizações de diferentes tamanhos e setores.
  • Facilidade de Implementação: Fornece guias detalhados e recursos para facilitar a implementação.

 

Considerações finais

Implementar os CIS Controls é uma prática recomendada para para fortalecer a segurança cibernética de qualquer organização, proporcionando uma estrutura clara e prática para proteger ativos digitais e garantir a continuidade dos negócios em um cenário de ameaças cibernéticas em constante evolução.

 

Pronto para tornar sua empresa mais segura?

Temos uma equipe experiente para diagnosticar e acompanhar sua empresa a ter processos definidos, além de uma governança bem estruturada. Conte com a Promove para tornar sua empresa uma referência em Segurança da Informação. Entre em contato!

David Zanetti

Sua expertise abrange desde a aplicação das melhores práticas do CMMI até o gerenciamento ágil de projetos, melhoria de processos e otimização de fluxos de trabalho, conduzindo as empresas a alcançarem resultados excepcionais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Nenhum comentário aprovado.


Matérias Semelhantes

Agilidade
19 de julho, 2024

Métricas Ágeis: como medir performance, qualidade e planejamento

Frequentemente identificamos empresas no mercado que buscam metodologias ágeis como Scrum, Kanban ou XP para melhorar o desempenho e...
Ler artigo
Agilidade
28 de junho, 2024

CMMI e Agilidade: integrando abordagens para otimizar processos

No desenvolvimento de software, organizações frequentemente exploram frameworks e modelos como o Capability Maturity Model Integration (CMMI) e metodologias ágeis...
Ler artigo
Segurança da Informação
24 de junho, 2024

Gestão da Segurança da Informação: guia prático para pequenas e médias empresas

Segurança da informação é a palavra do momento. Todas as organizações, sejam elas de pequeno, médio ou grande porte, sejam ela...
Ler artigo