Conformidade de Segurança Cibernética: Conheça as melhores práticas comprovadas

Como um profissional de segurança, você pode ser encarregado de alcançar a conformidade SOC2 para sua organização, adotando uma estrutura NIST ou cumprindo as novas leis de segurança. Estes são apenas alguns exemplos; você provavelmente enfrenta muitos requisitos!

Como um profissional de cibersegurança, você pode ser encarregado de alcançar a conformidade SOC2 ou de algum outro padrão para sua organização, adotando uma estrutura NIST ou cumprindo as novas leis de segurança. Estes são apenas alguns exemplos; você provavelmente enfrentará muitos requisitos!

A conformidade com várias estruturas e padrões de segurança jurídica, regulatória e de políticas é desafiadora e demorada. A maioria diz o que é necessário, mas não explica claramente como fazer ou por onde começar. Então, por onde você deve começar?

  • Com práticas recomendadas de cibersegurança comprovadas e priorizadas que mapeiam ou são referenciadas por outras estruturas e padrões.

Práticas recomendadas para conformidade de segurança

Como um profissional de segurança, você pode ser encarregado de alcançar a conformidade SOC2 para sua organização, adotando uma estrutura NIST ou cumprindo as novas leis de segurança. Estes são apenas alguns exemplos; você provavelmente enfrenta muitos requisitos!

Embora os requisitos variem, geralmente há sobreposição nas facetas de segurança em que estão se concentrando. Geralmente, essas são as melhores práticas de cibersegurança que você pode usar como ponto de partida em seu plano.

Os CIS Critical Security Controls (CIS Controls) são um conjunto priorizado de ações para proteger sua organização e os dados de vetores de ataque cibernético conhecidos. Eles são desenvolvidos por meio de um processo único de consenso da comunidade e não apenas informam como ficar mais seguro, mas também priorizam as ações que você deve realizar para chegar lá. Essa priorização ajuda sua organização a trabalhar para alcançar a higiene cibernética eficaz, em vez de trabalhar em uma lista em ordem e esperar reconhecer alguns benefícios ao longo do caminho.

Outra razão para começar com os controles CIS? Eles funcionam. As descobertas do CIS Community Defense Model (CDM) 1.0 (v2.0 a ser lançado no outono de 2021) mostram que eles são eficazes na mitigação de aproximadamente 83% de todas as técnicas MITER ATT e CK, incluindo 90% das técnicas de ransomware ATT e CK.

Para uma visão mais granular da configuração de segurança, os Benchmarks do CIS fornecem orientação baseada em consenso para tecnologias específicas. A implementação dessas recomendações de configuração ajuda a atender a alguns dos controles CIS; cada Benchmark mapeia para os controles.

Atingindo a conformidade com os controles CIS

Os controles CIS são mapeados para as seguintes estruturas:

  • Critérios AICPA Trust Services (SOC2)
  • Matriz de Controle Cloud Security Alliance (CSA CCM)
  • Certificação do modelo de maturidade de segurança cibernética (CMMC) v1.0
  • Lei de Responsabilidade e Portabilidade de Seguro Saúde de 1996 (HIPPA)
  • Estrutura do Instituto Nacional de Padrões e Tecnologia de Segurança Cibernética (NIST CSF)
  • Publicação especial NIST 800-53 Rev.5
  • Publicação especial NIST 800-171 Rev.2 Padrão de segurança de dados da indústria de cartões de pagamento (PCI) v3.2.1

Os mapeamentos estão disponíveis em vários formatos para ajudá-lo em sua jornada de cibersegurança. Os próprios mapeamentos estão disponíveis no formato Microsoft Excel e no navegador de controles CIS interativo. O Navigator oferece a capacidade de visualizar vários mapeamentos ao mesmo tempo e exportá-los para o Excel. Deseja rastrear sua implementação dos Controles e sua conformidade com essas estruturas mapeadas? A Ferramenta de Autoavaliação de Controles CIS (CIS CSAT) pode ajudar com isso.

Além de mapear os Controles CIS para estruturas de segurança que foram criadas com a ajuda de nossa comunidade, há várias entidades que fazem referência aos Controles diretamente. Por exemplo, a National Governors Association, NIST e a legislação dos Estados de Ohio, Califórnia, Nevada, Idaho e Connecticut mencionam os controles.

Benchmarks CIS

Como um profissional de segurança, você pode ser encarregado de alcançar a conformidade SOC2 para sua organização, adotando uma estrutura NIST ou cumprindo as novas leis de segurança. Estes são apenas alguns exemplos; você provavelmente enfrenta muitos requisitos!

Os Benchmarks CIS são reconhecidos como padrões da indústria para proteção cibernética em todo o mundo. Algumas referências incluem:

  • • Recomendação do PCI de padrões CIS para hardening
  • O Guia de Requisitos de Segurança de Computação em Nuvem do DoD menciona CIS Benchmarks como uma alternativa aceitável para os STIGs e SRGs (Seção 5.5.1)
  • O uso sugerido pelo FedRAMP de Benchmarks CIS se as diretrizes de configuração do governo dos EUA não estiverem disponíveis para uma plataforma específica
  • Complemento à regra de segurança HIPAA e sobreposição das mesmas disposições

Uma ferramenta de avaliação de configuração ajuda a determinar se seus sistemas estão configurados com segurança. O CIS-CAT Pro permite que você avalie a conformidade com os Benchmarks do CIS, tanto remotamente quanto em escala. Você também pode usar o Dashboard para rastrear a conformidade (e, portanto, a conformidade) ao longo do tempo.

Uma “rampa de acesso” para a conformidade: associação CIS SecureSuite

Os controles CIS e os benchmarks CIS fornecem uma “rampa” para a conformidade com uma ampla gama de estruturas de segurança. Isso porque eles são um bom ponto de partida para proteger sua organização e, ao mesmo tempo, direcionar você para a conformidade.

Uma associação CIS SecureSuite oferece as ferramentas e recursos para ajudá-lo a implementar e rastrear a conformidade e proteção dos dados e ativos da sua organização.

Fonte: www.cissecurity.org

Posts relacionados: 4 melhores práticas para evitar vulnerabilidades em código aberto / Darkside Ransomware: Melhores práticas para defender seu negócio de ataques de ransomware e CISA lança consultoria conjunta sobre abordagens para descobrir e corrigir atividades maliciosas