Por Tonimar Dal Aba
Segurança cibernética é um dos assuntos mais abordados do momento quando falamos sobre tecnologia. Em constante atualização, novas ameaças surgem a cada dia, assim como novos dispositivos e maneiras de se trabalhar. Agora com os ambientes híbridos, é ainda mais importante saber como manter sua empresa segura.
Para que os negócios possam estar em conformidade com as normas e práticas estabelecidas que buscam proteger a empresa de forma eficaz, os Controles CIS entram em ação. Dividido em três categorias distintas, eles oferecem ações recomendadas para o controle da segurança dentro das organizações, conforme detalhamos a seguir.
O que são os Controles CIS
Os Controles de Segurança Críticos, ou Controles CIS, foram desenvolvidos pelo Center for Internet Security. Basicamente, constituem um conjunto prescritivo e priorizado de práticas recomendadas de segurança cibernética e ações defensivas que podem ajudar a evitar ataques.
Essas práticas são formuladas por um grupo de especialistas em TI usando as informações coletadas de ataques reais e suas defesas eficazes. Esses controles fornecem orientação específica e um caminho claro para que as organizações atinjam os objetivos e metas descritos por várias estruturas legais, regulamentares e políticas.
Como sua organização pode utilizá-la ao seu favor?
Por meio dessas práticas, as organizações conseguem desenvolver estratégias de segurança que serão fundamentais para que os técnicos de TI tenham um plano de detecção e ação rápida caso um ataque aconteça.
Em complemento, esse conjunto de ações é algo comprovado na questão de eficácia em situações reais de segurança cibernética, e está em conformidade com diversas outras práticas conhecidas e necessárias para vários setores, como NIST Cybersecurity Framework, NIST 800-53, NIST 800-171, ISO 27000 series, PCI DSS, HIPAA, NERC CIP e FISMA.
Ao contrário da LGPD, que o governo brasileiro promulgou para salvaguardar os dados pessoais, quando se trata de segurança, não existe uma norma legal local que as empresas locais atribuam. Eles seguem o mesmo processo que as empresas internacionais fazem no que diz respeito à segurança.
Como eles são divididos?
De forma estrutural, os Controles CIS são compostos por 20 recomendações divididas em três categorias diferentes de subcontroles:
• Básico: controles que garantem a prontidão da defesa virtual, como inventários, manutenção, monitoramento e privilégios administrativos;
• Essencial: combatem ameaças técnicas mais específicas e que precisam de atenção especial, sejam dados, thresholds, acesso wi-fi e contas;
• Organizacional: ao contrário dos anteriores, seu foco não é em questões técnicas, mas nas pessoas e processos da organização. Essas práticas garantem a maturidade da segurança a longo prazo.
Grupos de Implementação
Cada Grupo de Implementação identifica quais sub controles são razoáveis para que uma organização implemente com base em seu perfil de risco e em seus recursos disponíveis. As organizações são incentivadas a auto avaliar e classificar-se como pertencentes a um dos três Grupos para priorizar uma melhor postura de segurança cibernética.
As organizações devem começar a implementar os subcontroles no IG1, seguido pelo IG2 e pelo IG3. A implementação do IG1 deve ser considerada entre as primeiras coisas a serem feitas como parte de um programa de segurança cibernética. O CIS refere-se ao IG1 como “Higiene cibernética” – as proteções essenciais que devem ser colocadas em prática para se defender contra ataques comuns.
Nos últimos meses, existe um interesse crescente de empresas de todos os setores em relação aos Controles CIS. Isso tem sido evidente desde a chegada da pandemia. Com o trabalho remoto e a dependência de tecnologia como VPN, existe uma preocupação de que a segurança pode não ser forte. E os cibercriminosos tiram vantagem dessa situação para causar danos. Portanto, é vital que as empresas melhorem sua postura de segurança, implementando as melhores práticas estabelecidas pelo CIS.
Ele oferece um valor enorme à medida que os negócios crescem, podem se tornar mais seguros e fortes e, ainda, as empresas podem utilizá-lo como um diferencial no mercado. Por exemplo, quando havia foco na LGPD, alguns bancos começaram a dizer que cumpriam a nova lei. Isso garantiu aos clientes e outras partes interessadas o mecanismo de segurança em vigor.
*Tonimar Dal Aba, Consultor de Produtos da ManageEngine
