O que é e como funciona o controle CIS?
Autor: Telium Networks
Publicação: 04/11/2022 às 11:00
Seja no mundo físico ou no mundo digital, existe um ditado popular que sempre pode ser aplicado, “prevenir é melhor do que remediar”. Se você concorda com essa frase, vai se interessar em conhecer como funciona o controle CIS.
Em linhas gerais, o controle CIS é um conjunto de práticas que ajudam a organização a se proteger de ataques cibernéticos, detectando prontamente sua ocorrência e até mesmo evitando-os. Nas próximas linhas vamos ajudar você a entender algumas dessas práticas.
O que são os controles CIS?
Desenvolvidos pelo Center for Internet Security, Centro para a Segurança da Internet, em tradução livre, os Controles de Segurança Críticos consistem, como mencionado, em práticas idealizadas por especialistas em Tecnologia da Informação baseadas em informações levantadas em ataques que já aconteceram. Por meio desses dados é possível analisar as práticas e estratégias que foram mais eficazes e formular o rol de ações no qual se constitui o CIS. De forma resumida é assim que funcionam os controles CIS, que tem como objetivo orientar as organizações para que elas atinjam as metas de segurança estabelecidas pela estrutura reguladora no qual estão inseridas.
Como os controles CIS atuam na prática?
Quando os Controles de Segurança Críticos são implementados, eles contribuem com uma organização em quatro grandes frentes, de forma geral. São elas:
O desenvolvimento de uma estrutura e estratégia para o programa personalizado de segurança da informação da organização.
A adoção de uma abordagem de gerenciamento de riscos que é elaborada com fundamentos em experiências reais anteriores.
A implementação de medidas específicas para a realidade interna (recursos e necessidades) e externa (requisitos de órgãos reguladores e mercado).
Adoção de normas de segurança utilizadas internacionalmente como o NIST Cybersecurity Framework, entre outros.
As categorias dos controles CIS
Os controles CIS se dividem em categorias no que se refere ao seu nível de complexidade e implementação. São eles, o básico, essencial e organizacional.
No básico, com os controles que ajudam a garantir uma defesa virtual ágil, baseada em ações como o desenvolvimento de inventários, manutenção, monitoramento e definição de privilégios administrativos.
No essencial, combatendo ameaças técnicas mais específicas e que carecem de cuidado especializado, com os dados, acesso wi-fi e contas, por exemplo.
E na categoria organizacional, na qual o foco não se restringe às questões técnicas, mas em processos e nos integrantes da entidade. Tais práticas contribuem para que a organização atinja, no longo prazo, um patamar de alto nível no que se refere à segurança da informação.
Nas versões mais recentes dos Controles CIS existem também, os chamados Grupos de Implementação, que ajuda a identificar quais ferramentas, procedimentos e técnicas se ajustam ao perfil e recursos disponíveis de uma organização específica.
É assim, atuando em diversas frentes, com variadas ferramentas, que os Controle de Segurança Críticos, buscam, por um lado prevenir, por outro conseguir contribuir para que as organizações atuem rapidamente em caso de ataques cibernéticos, além de auxiliá-las a se enquadrarem nas regulamentações de sua área de atuação.