Método de Avaliação de Risco CIS (RAM) v2.0 para CIS Controls v8

As avaliações de risco são ferramentas valiosas para compreender as ameaças que as empresas enfrentam, permitindo-lhes organizar uma estratégia e construir melhor resiliência e continuidade de negócios, tudo antes que ocorra um desastre. A preparação é a chave - afinal, o pior momento para planejar um desastre é durante ele.

As avaliações de risco são ferramentas valiosas para compreender as ameaças que as empresas enfrentam, permitindo-lhes organizar uma estratégia e construir melhor resiliência e continuidade de negócios, tudo antes que ocorra um desastre. A preparação é a chave – afinal, o pior momento para planejar um desastre é durante ele.

O Center for Internet Security (CIS) lançou recentemente o Método de Avaliação de Risco CIS (RAM) v2.0 (Risk Assessment Method (RAM) v2.0) , um método de avaliação de risco de Segurança da Informação para ajudar as empresas a justificar investimentos para uma implementação razoável dos Controles Críticos de Segurança CIS (Controles CIS). CIS RAM ajuda as empresas a definir seu nível aceitável de risco e, em seguida, gerenciar esse risco após a implementação dos controles. Poucas empresas podem aplicar todos os controles a todos os ambientes e ativos de informação. Alguns controles oferecem segurança eficaz, mas ao custo da eficiência, colaboração, utilidade, produtividade ou fundos e recursos disponíveis necessários.

Quando as empresas realizam uma avaliação de risco cibernético pela primeira vez, pode ser difícil saber por onde começar. CIS RAM é uma ferramenta poderosa e gratuita para orientar a priorização e implementação dos controles CIS e para complementar a credibilidade técnica de uma empresa com um processo de decisão de risco de negócios sólido. Ele também foi projetado para ser consistente com estruturas de segurança mais formais e seus métodos de avaliação de risco associados. Mais importante ainda, o CIS RAM permite que empresas com diversos recursos de segurança naveguem no equilíbrio entre a implementação de controles de segurança, riscos e necessidades corporativas.

CIS RAM pode ajudar sua empresa a demonstrar “devido cuidado” (Due Care)

As avaliações de risco são ferramentas valiosas para compreender as ameaças que as empresas enfrentam, permitindo-lhes organizar uma estratégia e construir melhor resiliência e continuidade de negócios, tudo antes que ocorra um desastre. A preparação é a chave - afinal, o pior momento para planejar um desastre é durante ele.

Se você enfrentar uma violação de dados e seu caso for a um litígio, será solicitado que você demonstre o “devido cuidado” (due care) com a Segurança da Informação e Privacidade dos dados. Esta é a linguagem que os juízes usam para descrever “razoabilidade”. As empresas devem usar salvaguardas para garantir que o risco seja razoável para a empresa e apropriado para outras partes interessadas no momento da violação. CIS RAM fornece um método para “traçar uma linha” na definição de risco aceitável de uma empresa, com riscos abaixo da linha aderindo ao “devido cuidado” e riscos acima da linha que requerem tratamento de risco. No centro do CIS RAM está a metodologia Duty of Care Risk (DoCRA), que permite às empresas pesar os riscos de não implementar os controles e sua carga potencial para a empresa.

CIS RAM ajuda você a responder a perguntas como:

  1. Quais são os riscos da minha empresa?
  2. O que constitui “devido cuidado” ou “razoabilidade?”
  3. Quanta segurança é suficiente?

O que há de novo no CIS RAM v2.0

As avaliações de risco são ferramentas valiosas para compreender as ameaças que as empresas enfrentam, permitindo-lhes organizar uma estratégia e construir melhor resiliência e continuidade de negócios, tudo antes que ocorra um desastre. A preparação é a chave - afinal, o pior momento para planejar um desastre é durante ele.

O CIS RAM é composto por uma família de documentos, com o CIS RAM Core como a base de tudo. CIS RAM Core é uma versão de “fundamentos básicos” do CIS RAM, que fornece os princípios e práticas das avaliações de risco do CIS RAM para ajudar os usuários a compreender e implementar rapidamente o CIS RAM. Também é útil para empresas e profissionais de segurança cibernética com experiência na avaliação de riscos e que são capazes de adotar rapidamente os princípios e práticas de RAM para seu ambiente.

Conforme mencionado anteriormente, o CIS RAM usa o DoCRA, que apresenta métodos de avaliação de risco familiares às autoridades legais, reguladores e profissionais de Segurança da Informação para criar um “tradutor universal” para essas disciplinas. O padrão inclui três princípios e 10 práticas, que orientam os avaliadores de risco no desenvolvimento deste tradutor universal para sua empresa.

E agora, o CIS RAM v2.0 ajuda as empresas a estimar a probabilidade de incidentes de segurança usando dados sobre incidentes de segurança cibernética do mundo real. Diz a equipe do CIS RAM v2.0: Desenvolvemos nosso pensamento sobre a probabilidade de ameaça, então, em vez de perguntar, “qual é a probabilidade de esse risco ocorrer”, agora perguntamos, “quando ocorre um incidente de segurança, qual é a maneira mais provável de acontecer aqui?” O CIS RAM agora usa dados do Veris Community Database para ajudar cada empresa a estimar automaticamente essa probabilidade, comparando os dados de incidentes do mundo real com a resiliência da implantação de cada CIS Safeguard.

CIS RAM v2.0 fornece três abordagens diferentes para apoiar empresas de três níveis de capacidade, em alinhamento com os Grupos de Implementação de controles CIS: IG1, IG2 e IG3.

Um documento para cada Grupo de Implementação (IG) será como uma âncora na família CIS RAM e estará disponível para as versões v8 e v7.1 dos Controles de Segurança Críticos do CIS (CIS Critical Security Controls). Cada documento terá uma apostila com um guia correspondente. O primeiro de muitos documentos da família CIS RAM v2.0 – CIS RAM v2.0 para Grupo de Implementação 1 e CIS RAM v2.0 para Grupo de Implementação 1 Workbook – agora estão disponíveis para download e ajudará as empresas no IG1 a construir seu programa de segurança cibernética . Esses documentos IG1 automatizam grande parte do processo de avaliação de risco para que as empresas com pouco ou nenhum conhecimento em segurança cibernética possam tomar conhecimento de seus riscos e saber quais abordar primeiro.

Todos os documentos CIS RAM têm materiais para ajudar os leitores a realizar suas avaliações de risco e incluem o seguinte: exemplos, modelos, exercícios, material de apoio e orientação adicional sobre técnicas de análise de risco. Eles estão trabalhando ativamente no CIS RAM v2.0 para lançar brevemente os materiais sobre IG2 e IG3.

O Processo CIS RAM Core

As avaliações de risco são ferramentas valiosas para compreender as ameaças que as empresas enfrentam, permitindo-lhes organizar uma estratégia e construir melhor resiliência e continuidade de negócios, tudo antes que ocorra um desastre. A preparação é a chave - afinal, o pior momento para planejar um desastre é durante ele.

As avaliações de risco CIS RAM Core envolvem as seguintes atividades:

Desenvolvendo os Critérios de Avaliação de Risco e Critérios de Aceitação de Risco: Estabelecer e definir os critérios de avaliação e aceitação de risco.

Modelando os riscos: Avalie as implementações atuais das salvaguardas do CIS que impediriam ou detectariam ameaças previsíveis.

Avaliando os riscos: Estime a probabilidade e o impacto das violações de segurança para chegar à pontuação de risco e, em seguida, determine se os riscos identificados são aceitáveis.

Recomendar salvaguardas CIS: propor salvaguardas CIS que reduziriam riscos inaceitáveis.

Avaliando as salvaguardas recomendadas do CIS: analise os riscos das salvaguardas recomendadas do CIS para garantir que representem riscos aceitavelmente baixos sem criar um fardo indevido.

As empresas que usam CIS RAM e CIS RAM Core podem então desenvolver um plano, bem como expectativas para proteger um ambiente de maneira razoável, mesmo se as salvaguardas CIS não forem implementadas de forma abrangente para todos os ativos de informação.

O CIS RAM foi desenvolvido pelo HALOCK Security Labs em parceria com o CIS. O HALOCK tem usado os métodos do CIS RAM por vários anos com resposta positiva de autoridades legais, reguladores, advogados, executivos de negócios e líderes técnicos. HALOCK e CIS colaboraram para trazer os métodos ao público como CIS RAM v1.0 em 2018, e agora v2.0 em 2021. CIS é um membro fundador do Conselho DoCRA sem fins lucrativos, que mantém o padrão de análise de risco que CIS RAM é construído sobre.

Clique aqui para conferir mais detalhes sobre o CIS (RAM) v2.0, e caso possua interesse em fazer o download

Fonte: www.cisecurity.org

Posts relacionados: CIS Controls v8 – A versão mais recente está agora disponível para download / Center for Internet Security (CIS) lançou CIS Controls v8 para refletir ameaças e evolução da tecnologia e CIS Controls v8 – Versão em português disponível para download