Implementando cibersegurança no padrão CIS Controls – Parte I

Os controles CIS são um conjunto prioritário e prescritivo de práticas recomendadas de segurança cibernética e ações defensivas que podem ajudar a prevenir os ataques mais generalizados e perigosos. Esses controles ajudam as organizações a fortalecer sua defesa cibernética e a apoiar a conformidade em uma era de múltiplas estruturas.

Os controles CIS são mapeados para a maioria das principais estruturas de conformidade, incluindo a Estrutura de Segurança Cibernética NIST, NIST 800-53, NIST 800-171 e série ISO 27000, e regulamentações como PCI DSS, HIPAA, NERC CIP e FISMA.

Eles fornecem uma orientação específica e um caminho claro para as organizações atingirem as metas e objetivos descritos por várias estruturas legais, regulamentares e políticas.

A estrutura do CIS Controls

Os controles CIS compreendem um conjunto de 20 ciberdefesas
divididas em três categorias distintas: básica,
fundamental e organizacional. E esses 20 controles
são posteriormente divididos em subcontroles.

Os controles CIS não é uma solução única para todos. Com base na sua organização e maturidade da cibersegurança, você pode planejar e priorizar o implementação de vários controles.

Basic (1-6)

São controles de segurança de propósito geral que devem ser implementado por todas as organizações para garantir prontidão para a defesa cibernética.

Foundational (7-16)

São controles que as organizações devem implementar para combater ameaças técnicas mais específicas.

Organizational (17-20)

São controles menos focados em aspectos técnicos, mas mais focado em pessoas e processos envolvidos na segurança cibernética. Eles operam no mais alto nível e são as principais práticas que devem ser adotado pela organização internamente para garantir a longo prazo maturidade de segurança.

Além do básico, fundamental e organizacional, na versão mais recente dos controles CIS, V7.1, o os controles são atribuídos a grupos de implementação (IGs).

Cada IG identifica quais Subcontroles são razoáveis para uma
organização a implementar com base em seu perfil de risco e seus
recursos disponíveis.

As organizações são incentivadas a auto avaliar e classificar
eles próprios como pertencentes a um dos três IGs para priorizar o
Controles CIS para uma melhor postura de segurança cibernética.

Organizações deve começar implementando os subcontroles em IG1,
seguido por IG2 e então IG3. Implementação de IG1 deve ser considerada uma das primeiras coisas a serem feitas como parte de um programa de segurança cibernética. CIS refere-se a IG1 como “Cyber Hygiene” – as proteções essenciais que devem ser implementado para se defender contra ataques comuns.

IG1

Organizações com recursos limitados onde a sensibilidade
de dados é baixo, será necessário implementar os subcontroles que
normalmente se enquadram na categoria IG1.

IG2

Organizações com recursos moderados e maior risco
exposição para lidar com ativos e dados mais sensíveis
precisa implementar os controles IG2 junto com IG1. Os subcontroles se concentram em ajudar as equipes de segurança a gerenciar informações confidenciais do cliente ou da empresa.

IG3

Organizações maduras com recursos significativos e altos
exposição ao risco para lidar com ativos críticos e dados precisam
implementar os subcontroles sob a categoria IG3 ao longo
com IG1 e IG2. Os subcontroles que ajudam a reduzir o
impacto de ataques direcionados de adversários sofisticados
normalmente caem em IG3.

GRUPO DE IMPLEMENTAÇÃO 1

Uma organização com recursos limitados e exposição a riscos

Subcontroles CIS para softwares pequenos, comerciais ou de home office
ambientes onde a sensibilidade dos dados é baixa, normalmente enquadrados em IG1. IG1 representa higiene cibernética básica para todas as organizações, incluindo aquelas em IG2 e IG3.

GRUPO DE IMPLEMENTAÇÃO 2

Uma organização com recursos moderados e maior exposição a riscos

Subcontroles CIS (salvaguardas) focados em ajudar as organizações a lidar com mais ativos e dados sensíveis. As salvaguardas IG2 também devem ser seguidas pelas organizações no IG3

GRUPO DE IMPLEMENTAÇÃO 3

Uma organização madura com recursos significativos e exposição de alto risco

Subcontroles CIS (salvaguardas) são necessários para organizações que lidam com ativos e dados. IG3 abrange salvaguardas em IG1 e IG3.

Soluções ManageEngine

O pacote de soluções de gerenciamento de TI da ManageEngine irá ajudá-lo a atender aos requisitos de controle CIS, no planejamento cuidadoso e no desenvolvimento de uma melhor da classe de segurança para alcançar uma melhor higiene cibernética.

Na segunda parte, iremos falar sobre os Basics CIS Controls e como implementá-los. Enquanto isso, você pode conferir nosso catálogo de soluções para cibersecurity clicando no botão abaixo. Conte sempre com o apoio da equipe ACSoftware.

ACSoftware revenda e distribuidora ManageEngine no Brasil. Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

Deixe um comentário

Do NOT follow this link or you will be banned from the site!