CIS Controls.

I CIS Critical Security Controls sono un insieme prioritizzato di 18 categorie di controllo pubblicato dal Center for Internet Security. I gruppi di implementazione (IG1, IG2, IG3) corrispondono alla maturità dell'organizzazione. Il metodo più rapido per portare una piccola o media organizzazione da zero a un livello di difesa adeguato. Si mappa in modo preciso sull'Annex A di ISO 27001.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Il punto di vista di Cyber Academy

I CIS Critical Security Controls sono un insieme prioritizzato di 18 categorie di controllo pubblicato dal Center for Internet Security. I gruppi di implementazione (IG1, IG2, IG3) corrispondono alla maturità dell'organizzazione. Il metodo più rapido per portare una piccola o media organizzazione da zero a un livello di difesa adeguato. Si mappa in modo preciso sull'Annex A di ISO 27001.

Cosa sono realmente i CIS Controls

I CIS Critical Security Controls sono una risposta ordinata e netta a una domanda che ogni difensore si pone: tra tutte le cose che potresti fare, quali dovresti fare per prime?

Pubblicati e mantenuti dal Center for Internet Security, distillano dati di attacchi reali in un insieme prioritizzato di misure di salvaguardia raggruppate in 18 categorie di controlli, dall'inventario degli asset e del software aziendali alla protezione dei dati, al controllo degli accessi, alla gestione continua delle vulnerabilità, alla gestione dei log di audit e alla risposta agli incidenti.

A differenza di un framework che ti dice di stabilire un processo, i Controls ti dicono concretamente cosa implementare e, grossomodo, in quale ordine, motivo per cui sono spesso la via più rapida per passare dall'assenza di un programma di sicurezza a uno difendibile.

La caratteristica distintiva è la prioritizzazione. L'elenco non è alfabetico né teorico; i controlli iniziali sono quelli che bloccano gli attacchi più comuni. Sapere quale hardware e software possiedi, configurarlo in modo sicuro, controllare i privilegi amministrativi e applicare le patch alle vulnerabilità note previene una larga parte degli incidenti reali prima ancora di spendere un solo euro in strumenti avanzati. È questo ordine a costituire il valore: un piccolo team con tempo limitato può partire dall'alto e procedere verso il basso, certo di chiudere le falle che gli attaccanti sfruttano davvero.

Gli Implementation Groups: IG1, IG2, IG3

I Controls si adattano alla scala grazie a tre Implementation Groups, così che lo stesso catalogo serva sia un'azienda di due persone sia una multinazionale. IG1 è definito come igiene cyber di base, l'insieme minimo che ogni organizzazione dovrebbe avere in atto, pensato per le imprese con competenze e risorse limitate per proteggersi da attacchi non sofisticati e opportunistici. IG2 aggiunge misure di salvaguardia per le organizzazioni che gestiscono dati più sensibili e affrontano avversari più capaci. IG3 è l'insieme completo, destinato alle organizzazioni mature che detengono asset critici e devono difendersi da attacchi mirati e sofisticati. Ogni gruppo è cumulativo: IG2 include tutto ciò che è in IG1, e IG3 include tutto ciò che è in IG1 e IG2.

CIS Implementation Groups
GruppoA chi si adattaPostura
IG1Organizzazioni piccole e medie, risorse IT e di sicurezza limitateIgiene cyber essenziale, difesa di base
IG2Organizzazioni che detengono dati più sensibili, personale di sicurezza dedicatoIrrobustita contro attaccanti più capaci
IG3Organizzazioni mature con asset critici ed elevata esposizioneInsieme completo di misure di salvaguardia contro attacchi mirati

In pratica ti autovaluti per collocarti in un Implementation Group, poi tratti le misure di salvaguardia di quel gruppo come il tuo piano di lavoro. La maggior parte delle organizzazioni piccole e medie dovrebbe puntare decisamente prima a IG1 e passare a IG2 solo una volta che questo è consolidato. È ciò che rende i Controls accessibili laddove un sistema di gestione completo può sembrare fuori portata: ti viene consegnata una checklist finita, verificabile e dimensionata sulla tua realtà.

Dove si collocano accanto alla ISO 27001 e ad altri framework

I CIS Controls sono un catalogo di controlli, non un sistema di gestione certificabile, e questa distinzione conta. La ISO 27001 certifica che gestisci un sistema di gestione della sicurezza delle informazioni con valutazione del rischio, una Dichiarazione di Applicabilità e miglioramento continuo; il CIS ti fornisce un insieme concreto e prioritizzato di misure di salvaguardia tecniche e operative da implementare al di sotto. Sono complementari piuttosto che concorrenti.

Il CIS pubblica le corrispondenze tra le sue misure di salvaguardia e l'Annex A della ISO 27001 e altri riferimenti come i framework NIST, così che il lavoro di implementazione svolto per il CIS diventi una prova che puoi presentare a fronte di un insieme di controlli ISO. I team usano spesso il CIS per guidare l'irrobustimento pratico e poi mappare quello sforzo verso il framework richiesto dai loro auditor o clienti.

Frequently asked questions

01Quanti CIS Controls esistono?

Nella versione attuale ci sono 18 categorie di controlli, ciascuna contenente un insieme di misure di salvaguardia specifiche. Il numero di misure di salvaguardia che implementi dipende dall'Implementation Group a cui punti.

02Con quale Implementation Group dovrebbe iniziare una piccola organizzazione?

IG1, definito come igiene cyber essenziale. È la base minima pensata per le organizzazioni con risorse di sicurezza limitate, e dovrebbe essere pienamente in atto prima di passare a IG2.

03I CIS Controls sono una certificazione?

No. Sono un catalogo prioritizzato di misure di salvaguardia, non un sistema di gestione certificabile. Non esiste un certificato CIS da esibire, anche se puoi autovalutarti e usare i Controls per guidare un programma a supporto di certificazioni come la ISO 27001.

04In che modo i CIS Controls si rapportano alla ISO 27001?

La completano. Il CIS ti fornisce misure di salvaguardia tecniche concrete e prioritizzate da implementare, mentre la ISO 27001 certifica il sistema di gestione che le circonda. Il CIS pubblica le corrispondenze con l'Annex A della ISO 27001, così che lo stesso lavoro supporti entrambi.

05I CIS Controls sono gratuiti da usare?

Sì. I Controls e le relative corrispondenze e strumenti di supporto sono pubblicati dal Center for Internet Security e sono liberamente disponibili, il che in parte spiega perché siano un punto di partenza diffuso per i team con risorse limitate.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.