O que são os CIS Controls?
Criado pelo CIS (Center for Internet Security), os CIS Controls são um conjunto de melhores práticas recomendadas para utilização na defesa cibernética que fornecem maneiras específicas e acionáveis de se proteger contra os ataques mais difundidos e perigosos da atualidade.
Em 18 de maio de 2021, o CIS lançou a versão 8 de seus controles na RSA Conference 2021. Vale citar que a SANS fornece treinamento, pesquisa e certificação do CIS Controls v8.
O que é o Center for Internet Security?
Fundado em 2000, o CIS é uma organização sem fins lucrativos que tem a missão de melhorar a prontidão e a resposta perante à segurança cibernética nos setores público e privado. O CIS desenvolve recursos que ajudam as organizações a desenvolver proteções cibernéticas sendo mais conhecido por seus CIS Controls e CIS Benchmarks. Os CIS Controls são proteções que mitigam riscos comuns de segurança cibernética, enquanto os CIS Benchmarks são diretrizes de configuração que as organizações podem usar para proteger seus sistemas e softwares.
Além disso, o CIS também supervisiona o Multi-State Information Sharing and Analysis Center (MS-ISAC) e o Election Infrastructure Information Sharing and Analysis Center (EI-ISAC). Essas organizações fornecem suporte, inteligência de ameaças e recursos para governos estaduais e locais e organizações eleitorais nos EUA.
CIS Controls v8.1
Em junho de 2024 o CIS atualizou os CIS Controls para a versão 8.1. Esta atualização introduziu uma orientação mais clara e alinhamento com outros padrões do setor. Abaixo listamos as mudanças realizadas:
Governança
Foi adicionada uma função de segurança “Governança” para se alinhar com o NIST Cybersecurity Framework 2.0. Esta atualização tem como objetivo enfatizar a importância de políticas, procedimentos e processos para o programa de segurança cibernética de uma organização.
Alinhamento de padrões
O CIS atualizou a versão 8.1 para se alinhar com o NIST Cybersecurity Framework 2.0. Isso cria consistência, melhora a usabilidade, facilita relatórios e benchmarking e permite que as organizações adotem mais facilmente várias estruturas.
Classificações de ativos
As classificações de ativos foram revisadas para torná-las mais consistentes. Os tipos de ativos Dispositivos, Usuários, Aplicativos, Dados, Redes, Software, agora incluem a nova categoria “Documentação”, que abrange planos, políticas e procedimentos, tornando mais fácil o gerenciamento de ativos e o alinhamento com os Controles.
Definições
O CIS adicionou definições detalhadas para termos como “dados sensíveis”, “plano” e “processo” ao glossário. Por exemplo, dados sensíveis agora são definidos como: “Dados físicos ou digitais armazenados, processados ou gerenciados pela empresa que devem ser mantidos privados, precisos, confiáveis e disponíveis.”
Correções
Por último, para garantir que a orientação dos controles seja precisa e o mais acionável possível, o CIS atualizou as descrições de salvaguarda para torná-las mais fáceis de seguir e corrigiu erros de digitação.
Mudanças mais importantes nos Cis Controls v8
Atualizado para acompanhar o ecossistema cibernético que está em constante mudança
Com a v8, o CIS aprimorou seus controles para lidar com ameaças modernas a sistemas e software. O crescimento na utilização da na computação baseada em nuvem, virtualização, mobilidade, terceirização, trabalho em casa e mudanças nas táticas de ataque motivaram a atualização. Os controles do CIS abordam a segurança das empresas à medida que elas migram cada vez mais para ambientes de nuvem e híbridos e utilizam tecnologia móvel.
Grupos de implementação
As salvaguardas de controle do CIS foram segmentadas em grupos de implementação (IGs), IG1, IG2 e IG3. O IG1 define a higiene cibernética básica e é o padrão mínimo de segurança de informações corporativas. O IG1 é um conjunto de 56 salvaguardas que toda empresa deve implementar para se proteger contra os ataques mais comuns. O IG2 se baseia no IG1, enquanto o IG3 é composto por todos os controles e salvaguardas.
Consistente e simplificado
Cada salvaguarda fornece uma tarefa única e focada (quando possível), detalha ações mensuráveis e define métricas. As salvaguardas são escritas em inglês simples para evitar interpretações errôneas.
Foco baseado em tarefas
O foco em controles baseados em funções é coisa do passado. A versão 8 combina e consolida os controles CIS por atividade, em vez de por quem gerencia os dispositivos. Dispositivos físicos, limites fixos e ilhas discretas de implementação de segurança são menos importantes; conforme refletido na terminologia revisada da versão 8 e nos agrupamentos de salvaguardas, resultando na redução do número de controles de 20 para 18.
Utilização de outras orientações de melhores práticas
Os controles CIS atualizados trabalham em conjunto e apontam para padrões independentes existentes e recomendações de segurança quando disponíveis. Os controles CIS mapeiam para mais de uma dúzia de estruturas padrão do setor, incluindo SOC2, HIPAA, MITRE ATT&CK, NIST, PCI DSS e muito mais. A CIS fornece uma ferramenta de autoavaliação de controles (CIS CSAT) para ajudar as organizações a avaliar, rastrear e priorizar a implementação de seus controles CIS.
A versão 8 é uma mudança em todo o ecossistema de controles
Seja usando os controles CIS ou outra estrutura de controle para orientar seu programa de melhoria de segurança, é essencial entender que uma lista de controles é simplesmente o ponto de partida. Com o lançamento da versão 8, o CIS também adicionou novas ferramentas e guias ao ecossistema de controles CIS para ajudar as organizações a:
- • Implementar, rastrear, medir e avaliar controles.
- • Priorizar controles com base em ameaças em evolução.
- • Justificar o investimento na implementação dos controles CIS.
- • Implementar as melhores práticas dos controles CIS para dispositivos móveis e aplicativos.
- • Aplicar as melhores práticas dos controles CIS a ambientes de nuvem.
- • Compatibilidade com várias estruturas fornecendo um mapa de estruturas regulatórias.
A versão 8 dos controles CIS fornece compatibilidade com versões anteriores e um caminho de migração para a v8 para usuários de versões anteriores.
Para saber mais sobre os CIS Controls v8, clique aqui.