Segurança cibernética é um dos assuntos mais quentes do momento quando falamos sobre tecnologia. Sempre atualizado, novas ameaças surgem a cada dia, assim como novos dispositivos e maneiras de se trabalhar. Agora com os ambientes híbridos, é ainda mais importante conseguir manter sua empresa segura.

Para que os negócios possam seguir normas e práticas estabelecidas, que funcionam e que podem proteger a empresa de forma eficaz, os Controles CIS entram em ação. Divido em três categorias distintas, ele oferece ações recomendadas para o controle da segurança dentro de sua empresa.

O que são os Controles CIS

Os Controles de Segurança Críticos, ou Controles CIS, foram desenvolvidos pelo Center for Internet Security. Basicamente, constituem um conjunto prescritivo e priorizado de práticas recomendadas de segurança cibernética e ações defensivas que podem ajudar a evitar ataques.

Essas práticas são formuladas por um grupo de especialistas em TI usando as informações coletadas de ataques reais e suas defesas eficazes. Esses Controles fornecem orientação específica e um caminho claro para que as organizações atinjam os objetivos e metas descritos por várias estruturas legais, regulamentares e políticas.

Como sua organização pode utilizá-la ao seu favor?

Através dessas práticas, sua organização consegue desenvolver um estratégia de segurança que será fundamental para que os técnicos de TI tenham um plano de detecção e ação rápida caso um ataque aconteça.

Além disso, esse conjunto de ações é algo comprovado na questão de eficácia em situações reais de segurança cibernética, e está em conformidade com diversas outras práticas conhecidas e necessárias para vários setores, como NIST Cybersecurity Framework, NIST 800-53, NIST 800-171, ISO 27000 series, PCI DSS, HIPAA, NERC CIP e FISMA.

Como eles são divididos?

De forma estrutural,  os Controles CIS são compostos por 20 recomendações divididas em 3 categorias diferentes de subcontroles:

  • Básico: controles que garantem a prontidão da defesa virtual, como inventários, manutenções, monitoramento e privilégios administrativos.

  • Essencial: combatem ameaças técnicas mais específicas e que precisam de atenção especial, sejam dados, thresholds, acesso wi-fi e contas.

  • Organizacional: Ao contrário dos anteriores, seu foco não é em questões técnicas, mas nas pessoas e processos da organização. Essas práticas garantem a maturidade da segurança a longo prazo.

Grupos de Implementação

Cada Grupo de Implementação identifica quais subcontroles são razoáveis para que uma organização implemente com base em seu perfil de risco e em seus recursos disponíveis. As organizações são incentivadas a auto avaliar e classificar-se como pertencentes a um dos três Grupos para priorizar uma melhor postura de segurança cibernética.

As organizações devem começar implementando os subcontroles no IG1, seguido pelo IG2 e pelo IG3. A implementação do IG1 deve ser considerada entre as primeiras coisas a serem feitas como parte de um programa de segurança cibernética. O CIS refere-se ao IG1 como “Higiene cibernética” – as proteções essenciais que devem ser colocadas em prática para se defender contra ataques comuns.

A ManageEngine pode te ajudar

O conjunto de soluções de gerenciamento de TI da ManageEngine pode ajudá-lo a atender os requisitos discretos de controle do CIS e, por sua vez, ajudar sua organização a planejar e desenvolver cuidadosamente um programa de segurança de primeira linha para obter uma melhor higiene cibernética.

Quer saber mais? Acesse nossa página detalhada sobre como cada solução da ME pode ajudá-lo com cada um dos 20 controles.