CIS Controls.

Os CIS Critical Security Controls são um conjunto priorizado de 18 categorias de controlos publicado pelo Center for Internet Security. Os grupos de implementação (IG1, IG2, IG3) correspondem à maturidade da organização. A forma mais rápida de levar uma organização de pequena ou média dimensão do zero a uma postura defensável. Alinha-se de forma consistente com o Annex A do ISO 27001.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

Os CIS Critical Security Controls são um conjunto priorizado de 18 categorias de controlos publicado pelo Center for Internet Security. Os grupos de implementação (IG1, IG2, IG3) correspondem à maturidade da organização. A forma mais rápida de levar uma organização de pequena ou média dimensão do zero a uma postura defensável. Alinha-se de forma consistente com o Annex A do ISO 27001.

O que os CIS Controls realmente são

Os CIS Critical Security Controls são uma resposta ordenada e com posicionamento claro a uma pergunta que todo defensor enfrenta: de tudo o que você poderia fazer, o que deveria fazer primeiro?

Publicados e mantidos pelo Center for Internet Security, eles destilam dados de ataques reais num conjunto priorizado de salvaguardas agrupadas em 18 categorias de controles, do inventário de ativos e software da empresa à proteção de dados, ao controle de acessos, à gestão contínua de vulnerabilidades, à gestão de registros de auditoria e à resposta a incidentes.

Ao contrário de um framework que lhe diz para estabelecer um processo, os Controls dizem concretamente o que implementar e, grosso modo, em que ordem, razão pela qual costumam ser o caminho mais rápido para sair da ausência de um programa de segurança para um programa defensável.

A característica definidora é a priorização. A lista não é alfabética nem teórica; os controles iniciais são os que bloqueiam os ataques mais comuns. Saber qual hardware e software você possui, configurá-lo de forma segura, controlar os privilégios administrativos e corrigir as vulnerabilidades conhecidas previne grande parte dos incidentes reais antes de você gastar um único euro em ferramentas avançadas. Essa ordem é o valor: uma equipe pequena com tempo limitado pode começar pelo topo e ir descendo, com a confiança de estar fechando as brechas que os atacantes realmente exploram.

Os Implementation Groups: IG1, IG2, IG3

Os Controls escalam por meio de três Implementation Groups, de modo que o mesmo catálogo sirva tanto a um negócio de duas pessoas quanto a uma multinacional. IG1 é definido como higiene cibernética básica, o conjunto mínimo que toda organização deveria ter implementado, projetado para empresas com conhecimento e recursos limitados para se proteger contra ataques não sofisticados e oportunistas. IG2 acrescenta salvaguardas para organizações que gerenciam dados mais sensíveis e enfrentam adversários mais capazes. IG3 é o conjunto completo, destinado a organizações maduras que detêm ativos críticos e precisam se defender contra ataques direcionados e sofisticados. Cada grupo é cumulativo: IG2 inclui tudo o que há em IG1, e IG3 inclui tudo o que há em IG1 e IG2.

CIS Implementation Groups
GrupoA quem se adequaPostura
IG1Organizações pequenas e médias, recursos de TI e segurança limitadosHigiene cibernética essencial, defesa de base
IG2Organizações que detêm dados mais sensíveis, equipe de segurança dedicadaReforçada contra atacantes mais capazes
IG3Organizações maduras com ativos críticos e alta exposiçãoConjunto completo de salvaguardas contra ataques direcionados

Na prática, você faz uma autoavaliação para se posicionar num Implementation Group e, em seguida, trata as salvaguardas desse grupo como o seu plano de trabalho. A maioria das organizações pequenas e médias deveria mirar primeiro decididamente o IG1 e só passar ao IG2 depois que ele estiver consolidado. É isso que torna os Controls acessíveis onde um sistema de gestão completo pode parecer fora de alcance: você recebe uma lista de verificação finita, testável e dimensionada à sua realidade.

Onde eles se situam ao lado da ISO 27001 e de outros frameworks

Os CIS Controls são um catálogo de controles, não um sistema de gestão certificável, e essa distinção importa. A ISO 27001 certifica que você opera um sistema de gestão da segurança da informação com avaliação de riscos, uma Declaração de Aplicabilidade e melhoria contínua; o CIS lhe dá um conjunto concreto e priorizado de salvaguardas técnicas e operacionais para implementar por baixo. Eles são complementares, e não concorrentes.

O CIS publica mapeamentos de suas salvaguardas para o Anexo A da ISO 27001 e para outras referências, como os frameworks NIST, de modo que o trabalho de implementação que você realiza para o CIS se torna evidência que você pode apresentar diante de um conjunto de controles ISO. As equipes frequentemente usam o CIS para conduzir o endurecimento prático e depois mapeiam esse esforço para o framework que seus auditores ou clientes exigirem.

Frequently asked questions

01Quantos CIS Controls existem?

Há 18 categorias de controles na versão atual, cada uma contendo um conjunto de salvaguardas específicas. O número de salvaguardas que você implementa depende do Implementation Group que você visa.

02Com qual Implementation Group uma organização pequena deveria começar?

IG1, definido como higiene cibernética essencial. É a base mínima projetada para organizações com recursos de segurança limitados, e deveria estar plenamente implementado antes de passar ao IG2.

03Os CIS Controls são uma certificação?

Não. Eles são um catálogo priorizado de salvaguardas, não um sistema de gestão certificável. Não há um certificado CIS para exibir, embora você possa fazer uma autoavaliação e usar os Controls para conduzir um programa que apoie certificações como a ISO 27001.

04Como os CIS Controls se relacionam com a ISO 27001?

Eles a complementam. O CIS lhe dá salvaguardas técnicas concretas e priorizadas para implementar, enquanto a ISO 27001 certifica o sistema de gestão em torno delas. O CIS publica mapeamentos para o Anexo A da ISO 27001, de modo que o mesmo trabalho apoia ambos.

05Os CIS Controls são gratuitos para usar?

Sim. Os Controls e seus mapeamentos e ferramentas de apoio são publicados pelo Center for Internet Security e estão disponíveis gratuitamente, o que é parte do motivo pelo qual são um ponto de partida popular para equipes com recursos limitados.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.