by ffclavis
Bookmark

SegInfocast #79 – CIS Controls Versão 8

SegInfocast #79 – faça o download para ouvir o podcast aqui.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe mais uma vez Rafael Ferreira para falar sobre a nova versão do CIS Controls – Versão 8.

seginfocast #79 cis controls versão 8

Para atualizar nossos ouvintes, poderia dizer o que seriam os CIS Controls? Do que se trata esse tema? (01:19)

Rafael comenta que os controles CIS (Center for Internet Security), são um conjunto priorizado de proteções recomendadas para mitigar os ataques cibernéticos mais prevalentes contra sistemas e redes.

Essa iniciativa, criada em 2008, devido a grandes brechas de seguranças, principalmente em sistemas industriais e a necessidade de proteção e criação de controles para evitá-las. Foi desenvolvido por um grande grupo que reuniu empresas, agências governamentais, instituições, pessoas da comunidade de segurança cibernética para criar o mais efetivo conjunto de ações dedicadas à defesa cibernética, fornecendo as melhores práticas aprovadas pelos profissionais de segurança da informação dos setores público e privado.

Os controles são endossados e referenciados por órgãos como NIST, MITRE, DoD, Department of Homeland Security, SANS Institute, European Telecommunications Standards Institute (ETSI), Reino Unido, com a National Governors Association (NGA) e UK’s Centre for the Protection of National Infrastructure (CPNI), dentre outros.

E os controles foram se atualizando ao longo dos anos, e a partir de 2015 vem sendo capitaneado pelo CIS, que lançou a versão 8 neste semestre.

Quais são os ganhos para as empresas que optam por seguir os CIS Controls? (05:03)

Além da adoção das melhores práticas definidas pela comunidade de Segurança, os controles trazem uma visão priorizada dos controles para aumentar o nível de maturidade e segurança. Assim as organizações poderão definir rapidamente os pontos críticos e importantes, economizando recursos, tempo e dinheiro, bem como garantindo uma melhoria na segurança no menor espaço de tempo possível.

Os CIS Controls pretendem substituir os demais frameworks de segurança do mercado? (06:20)

Nosso entrevistado comenta que não substituem e nem possuem essa intenção. Um dos princípios dos CIS Controls é a capacidade de mapear os controles especificados pelo CIS e os requisitos dos outros frameworks de mercado, incluindo os de nicho como o PCI-DSS ou CSA, e os mais generalistas como ISO27001, NIST etc. Assim, é possível realizar uma jornada de adequação, onde você sabe o início e onde deve chegar e, pode incluir aos frameworks que desejar para evoluir o nível de maturidade, pois o CIS já facilita o trabalho, na coexistência dos controles e os requisitos dos frameworks existentes. A empresa terá uma excelente base para iniciar os trabalhos de implementação da segurança com a priorização correta relacionada aos riscos.

Quais são os princípios que guiaram a atualização da nova versão dos CIS Controls? (09:33)

Um dos principios do CIS CONTROLS é ser orientado à ação, além do foco nos inventários, onde você precisa conhecer o que você possui para poder gerenciar. A questão da visibilidade é um princípio que se mantém. O princípio da capacidade de mapeamento, que faz de maneira facilitada essa tarefa. Rafael explica que a versão atual foi lançada permitindo a existência com os demais frameworks de segurança cibernética, controles flexíveis, focados e com menor redundância. E a questão de se manter sempre atualizado, com a abordagem com priorização, que tornou o processo mais fluido, evitando redundâncias.

Quais foram as atualizações desta última versão? (13:52)

Essa atualização foi motivada pelas recentes transformações como a nuvem, mobilidade, home office, regulatórios de proteção de dados e privacidade. O número total de controles foi reduzido de 20 para 18. Os controles foram organizados por atividades e por grupos de implementação. Um bom exemplo de mudança de abordagem é o controle 1 sobre inventários. Na nova versão, o levantamento de dados sobre os ativos foram expandidos, que não estavam previstos anteriormente. Houve uma mudança conceitual na abordagem. Rafael também comentou outras mudanças de abordagem e também a adaptação às novas realidades, como por exemplo o Data Protection, com as arquiteturas que são empregadas atualmente, tendo que proteger mais o dado do que o próprio perímetro, dentre outros.

Rafael comentou sobre detalhes sobre como abordar os controles de uma maneira progressiva, olhando para os controles e os safeguards, com sugestão de abordagem priorizada, permitindo otimizar o tempo e custos, minimizando os riscos com maior eficiência e eficácia.

Vale frisar que o inventário controle, que é a tarefa orientada a ação, onde existem controles que iniciam rotinas na sua empresa que garantem que o inventário estará atualizado, pois monitora as mudanças do dia a dia, permitindo uma visibilidade de toda a superfície de defesa/ataque podendo visualizar as brechas, atuando em pessoas, tecnologia e processos.

Quais são os CIS Controls atuais? (25:36)

Rafael comentou quais são os atuais controles, e também alguns pontos das mudanças e informações importantes e atualizadas de cada, que são: Inventário e controle de ativos corporativos, inventário e controle de softwares, proteção de dados, configuração segura de ativos e softwares, gerenciamento de contas, gestão de controle de acesso, gestão de vulnerabilidade contínua, gestão de logs – auditoria, proteção de email e web browser, defesa de malwares, data recovery, gestão de infraestrutura de rede, defesa e monitoramento de rede, mentalidade de segurança e treinamento, gestão de provedores de serviços, segurança de aplicações, gestão de resposta a incidentes e testes de penetração/invasão.

Para fazer um paralelo em quantitativo de ações, na versão 7.1, havia 20 controles e 171 sub controles; e já na versão 8 existem 18 controles e 153 “safeguards” e não mais chamados de sub controles.

Como a Clavis tem utilizado os CIS Controls? E se eu sou um profissional de segurança e gostei da abordagem citada neste SegInfocast e gostaria de pedir à Clavis um apoio para esses serviços, como faço? (30:06)

Rafael comenta que a Clavis atua fortemente como um centro de operações de segurança, e utiliza não somente o CIS Controls, mas também se baseia nos demais frameworks de segurança. Iniciamos o serviço com uma análise e uma modelagem de  um roadmap personalizado para cada cliente, criando assim uma jornada de adequação única. Cada aspecto relacionado a pessoas, processos e tecnologia no serviço de SOC da Clavis  são trabalhados para aumentar o nível de maturidade de segurança dos clientes alinhado às principais normas do mercado. Nós focamos em uma arquitetura de segurança adaptativa baseada em três prismas: ataque, defesa e inteligência. Nessas três áreas, conseguimos ajustar e adequar os controles necessários com serviços e soluções próprias, como o OCTOPUS SIEM, responsável pelo monitoramento contínuo de ameaças e o BART, responsável pela gestão centralizada de vulnerabilidades. Todo o cenário é contextualizado com fontes de inteligência (Threat Intel), orientado aos riscos inerentes ao negócio e suportado pelos pilares de Governança, Risco e Compliance. Agrega-se a tudo isso a ACADEMIA CLAVIS, que provê a conscientização e treinamento.

Rafael agradeceu aos ouvintes e deixou a mensagem que a segurança não é uma chave em que se virar consegue resolver o problema, e sim um processo contínuo, sendo importante ter uma ferramenta como essa do CIS CONTROLS que ajuda a ter uma visão atual do processo de segurança.

Conheça os serviços da CLAVIS clicando aqui e conferindo o site www.clavis.com.br

Veja os artigos sobre o CIS CONTROLS V8: CIS Controls Version 8 chegará em maio de 2021

Sobre o entrevistado

Rafael Soares Ferreira é Diretor Comercial do Grupo Clavis Segurança da Informação. Profissional atuante nas áreas de testes de invasão e auditorias de rede, sistemas e aplicações, e de detecção e resposta a incidentes de segurança. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: GTS – Grupo de Trabalho em Segurança de Redes do cgi.br, CNASI – Congresso de Segurança da Informação, Auditoria e Governança TIC, FISL – Fórum Internacional de Software Livre, OWASP Day, Bhack Conference, SegInfo – Workshop de Segurança da Informação, Bsides SP, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH v8 (Certified Ethical Hacker), ECSA v4 (EC-Council Certified Security Analyst), CHFI v8 (Computer Hacking Forensic Investigator), CompTia Security+, SANS SSP-CNSA (Stay Sharp Program – Computer and Network Security Awareness) e ENSA v4.1 (EC-Council Network Security Administrator).

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.