São Paulo/SP – 24 de março de 2023 – O CIS Controls (ou Controles CIS) é uma publicação que apresenta boas práticas e recomendações para a área de Segurança da Informação. O intuito desse artigo é apresentar um breve resumo do que é CIS Control V8 e seus principais aspectos. É possível ter acesso ao documento na integra em: https://www.cisecurity.org/controls/v8
*Dylan Ribeiro
Visão Geral
O CIS Controls (ou Controles CIS) é uma publicação que apresenta boas práticas e recomendações para a área de Segurança da Informação. A iniciativa teve início nos anos 2000 com líderes empresariais e governamentais americanos e hoje é de responsabilidade da organização não governamental Center for Internet Security (CIS). O intuito desse artigo é apresentar um breve resumo do que é CIS Control V8 e seus principais aspectos. É possível ter acesso ao documento na integra em: https://www.cisecurity.org/controls/v8
O CIS Control V8 possui 18 Controles, onde cada um possui uma tabela com as seguintes colunas: “Medida de Segurança” que apresenta sequência numérica dessas medidas; “Título da Medida de Segurança” que descreve a sugestão de controle de segurança; “Tipo de Ativo” que indica se a medida é para Dispositivos, Aplicações, Dados, Rede ou Usuário; “Função de Segurança” que indica se aquela medida é para Identificar, Responder, Detectar ou Proteger; E as últimas três colunas apresentam os IGs a qual essa medida se aplica.
Os IGs possuem três níveis, onde o IG1 faz referência a empresas de pequeno ou médio porte com uma infraestrutura de TI limitada e muitas vezes focada apenas em sustentar o negócio. O IG2 engloba o IG1 e é focado em empresas que já possuam uma infraestrutura de TI maior, com gerentes e já realizam algum processamento de dados. O IG3 que engloba os outros dois níveis, é focado em empresas que já possuam uma infraestrutura de TI especializada, que realiza diversas ações para mitigar riscos e onde o foco é na disponibilidade, integridade e confidencialidade dos serviços.
Independente do IG que determinado controle é recomendado, com pequenas adaptações é possível aplicar boa parte deles em todas as organizações.
Controles do CIS Control V8
A seguir vamos abordar de forma resumida o que são esses controles e seus principais aspectos.
Controle 01 – Inventário e Controle de Ativos Corporativos
Esse controle reforça a importância de termos um inventário de todos os ativos que são conectados ao ambiente da organização. Sejam eles dispositivos móveis ou portáteis, servidores ou dispositivos não computacionais. A ideia é ter certeza dos dispositivos que precisam ser monitorados e protegidos, assim como identificar elementos estranhos e fora do padrão para que seja mais fácil a remoção ou correção de qualquer erro.
Controle 02 – Inventário e Controle de Ativos do Software
Assim como o anterior, esse controle recomenda que todos os softwares da organização sejam inventariados, sejam eles sistemas operacionais ou aplicações, para que somente softwares autorizados e homologados sejam instalados os não autorizados e não gerenciados sejam localizados e impedidos de serem instalados.
Controle 03 – Proteção de Dados
A ideia principal desse controle é que sejam estabelecidos processos e controles técnicos para realizar a proteção de dados, englobando todas as etapas desde a identificação, passando pela classificação, manuseio seguro, retenção, armazenamento e por fim, o descarte dos dados.
Controle 04 – Configuração Segura de Ativos Corporativos e Software
Esse controle recomenda que sejam criados processos e procedimentos para manter a configuração segura dos ativos corporativos, como dispositivos de rede e dispositivos de usuário final, além da configuração segura de softwares.
Controle 05 – Gestão de Contas
Nesse controle é abordada a importância do uso de processos e ferramentas para realizar a gestão de credenciais para todas as contas, sejam de usuário, administrador, serviço ou mesmo os ativos corporativos e software.
Controle 06 – Gestão de Acesso
Esse controle atua em conjunto com o anterior, reforçando a importância de processos e ferramentas para criar, atribuir, gerenciar e revogar credenciais de acesso independentemente do nível desse acesso.
Controle 07 – Gestão Contínua de Vulnerabilidades
A ideia desse controle é que a organização desenvolva um plano para avaliar e rastrear continuamente todas as possíveis vulnerabilidades presentes nos ativos da organização. Que seja feito o monitoramento e que a organização possua fontes confiáveis de informações.
Controle 08 – Gestão de Logs de Auditoria
Esse controle reforça a importância de que a organização colete, alerte, analise e retenha logs de auditoria de eventos que possam auxiliar na detecção, compreensão e recuperação de um ataque.
Controle 09 – Proteções para Navegador Web e E-mail
Esse controle reforça a importância da utilização de medidas de proteção e detecção de possíveis ameaças via e-mail e web, pois são pontos que podem ser influenciados pelo comportamento do usuário.
Controle 10 – Defesas Contra Malware
A ideia desse controle é que a organização possua ferramentas capazes de impedir ou controlar a instalação, disseminação e execução de qualquer código script malicioso.
Controle 11 – Recuperação de Dados
Esse controle recomenda que a organização possua práticas de recuperação de dados que sejam suficientes para restaurar os ativos a um estado antes de determinado incidente.
Controle 12 – Gestão de Infraestrutura de Redes
Aqui vemos a importância de se estabelecer, implementar e gerenciar ativamente todos os dispositivos de rede para evitar qualquer ponto de acesso vulnerável.
Controle 13 – Monitoramento e Proteção de Rede
Nesse controle é recomendado que a organização possua processos e ferramentas para realizar um monitoramento e defesa da rede contra ameaças em toda sua infraestrutura e base de usuários.
Controle 14 – Conscientização de Segurança e Treinamento de Competência
Esse controle recomenda que a empresa estabeleça e mantenha programas de conscientização e treinamento para influenciar o comportamento dos usuários para que eles estejam cientes dos riscos e possam atuar para reduzi-los.
Controle 15 – Gestão de Provedores de Serviço
A ideia desse controle é auxiliar a organização na gestão de seus provedores de serviço, criando processos para avaliar esses provedores. Garantindo a proteção dos dados sensíveis mantidos por eles, bem como a sustentação de processos críticos de TI.
Controle 16 – Segurança de Aplicativos
Esse controle vem de encontro a gestão do ciclo de vida da segurança de softwares da organização, sejam eles desenvolvidos, hospedados ou adquiridos, visando a prevenção, detenção e correção de quaisquer pontos fracos antes que eles possam afetar a organização.
Controle 17 – Gestão de Resposta a Incidente
A ideia principal desse controle é que a organização elabore um programa ou processos para manter uma capacidade de resposta a incidentes, como planos, políticas, treinamento e outros aspectos. Tudo isso visando a melhor preparação, detecção e resposta caso ocorra um incidente.
Controle 18 – Teste de Invasão
Esse controle recomenda que a organização realize testes periódicos de invasão, para que seja testada a eficácia e a resiliência dos ativos com base na identificação e exploração nos controles, incluindo uma simulação de objetivos e ações de um possível atacante.
Importância
As razões para se empregar o CIS Control em uma organização são muitas, nesse artigo, optamos por resumi-los em apenas dois. O primeiro é a conformidade com outros frameworks e certificações e o segundo é a adequação aos requisitos da LGPD.
A própria CIS realiza diversos mapeamentos com certificações e regulamentações como o PCI DSS, a GDPR e a ISO27001. Dessa forma ao implementarmos um controle CIS, podemos verificar com qual medida desses outros frameworks ela está em conformidade e a relação inversa também é verdadeira. Por exemplo, com a necessidade de implementarmos uma medida do PCI DSS é possível verificar seu equivalente no CIS Control V8 e assim atuar de forma mais incisiva para atender essa medida. É possível encontrar esse mapeamento em: https://www.cisecurity.org/cybersecurity-tools/mapping-compliance
O governo federal por meio de seus portais disponibiliza uma série de materiais contendo boas práticas na área de Segurança da Informação, tendo como principal objetivo auxiliar as organizações privadas e instituições públicas no atendimento do capítulo VII “Da segurança e das boas práticas” da Lei Geral de Proteção de Dados Pessoais (LGPD). Um desses muitos materiais é o chamado “Guia do Framework de Segurança” publicado em janeiro de 2022 e disponível na integra no link: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_framework_seguranca.pdf
O material deixa claro que “a adoção do presente guia não equivale necessariamente a cumprir a legislação brasileira sobre segurança, privacidade e proteção de dados pessoais”, mas complementa ressaltando a importância da adoção das boas práticas nele presentes e que a implementação dessas recomendações poderá auxiliar as organizações nesse objetivo.
Considerações Finais
Esse artigo apresentou de forma breve todos os 18 controles que estão presentes na versão mais recente do CIS Control V8 com o intuito de dar um primeiro passo para compreensão e demonstração da importância desse material. Cada um dos controles e até mesmo cada uma das medidas demandam esforço para serem implementados, mas com certeza, ao implementarmos uma a uma, o nível de maturidade da organização irá aumentar gradativamente.
Por ser um dos frameworks de Segurança da Informação mais adotados pelas empresas devido a facilidade de compreensão dos controles, é importante compreendermos o CIS Control V8. Mas vale frisar que ele é mais do que apenas uma lista de recomendações. É importante pensar nele como o início de algo maior, um ponto de partida. E por essa razão é preciso entender muito bem de onde estamos partindo.
— Dylan Ribeiro é Consultor de GRC na [SAFEWAY]
Como podemos ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 15 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa na avaliação do nível de maturidade dos controles e processos de Segurança da Informação frente as recomendações do CIS, bem como na implementação de todas as medidas aplicáveis para aumentar este nível de maturidade. Caso deseje mais informações, entre em contato com um de nossos especialistas!
