Os Controles de Segurança Críticos CIS são um conjunto de ações recomendadas para defesa cibernética, desenvolvido pelo Center for Internet Security, e fornecem maneiras específicas e acionáveis de prevenção e defesa dos ataques cibernéticos mais comuns e críticos da atualidade e de apoio à conformidade.
Um dos principais benefícios dos controles é que eles priorizam e concentram o menor número de ações necessárias para se ter o melhor custo-benefício. Os controles são eficazes, por serem baseados nos padrões de ataques mais comuns descritos nos principais relatórios de ameaças e examinados por uma importante gama de profissionais de segurança, de organizações privadas e órgãos governamentais de todo o mundo.
À medida que os desafios de segurança aumentam, as melhores práticas para manter resiliência evoluem. Os controles CIS são bem vistos no setor de segurança cibernética porque contêm recomendações atuais e concretas para ajudar as empresas a melhorar a postura de segurança.
Considerando que muitas normas e regulamentos de conformidade que visam melhorar a segurança geral podem ser um tanto quanto limitadas, pois são específicas para cada setor, os controles CIS foram criados por especialistas com o objetivo de serem universalmente aplicáveis. A realidade é que a maioria das organizações têm de lidar com recursos financeiros muitas vezes limitados, por isso as prioridades devem ser bem definidas. Assim, os controles são separados em três categorias: básica, fundamental e organizacional, independentemente do tipo de indústria.
Essa priorização das normas é o que diferencia as recomendações do CIS de outros controles ou listas de segurança, que tendem a não ter indicações concretas ou facilmente aplicáveis.
Ao todo, são 20 os controles críticos do CIS. Os primeiros 6 da lista são priorizados como controles básicos que devem ser implementados por todas as organizações para se ter uma prontidão de defesa cibernética:
- Inventário e controle de ativos de hardware
- Inventário e controle de ativos de Software
- Gerenciamento contínuo de vulnerabilidades
- Uso controlado de privilégios administrativos
- Configuração segura para hardware e software em dispositivos móveis, notebooks, estações de trabalho e servidores
- Manutenção, monitoramento e análise de registros de auditoria
Cada controle é amplo em escopo, mas são alinhados através de princípios sólidos: garantir que os usuários certos tenham acesso aos ativos certos, que todos os sistemas sejam mantidos atualizados e o mais protegidos possível. Seguir a orientação do CIS para esses seis principais controles trará grandes benefícios, mesmo que esses sejam os únicos controles que sua empresa pode implementar.
O escopo de todos os 20 principais controles de segurança crítica do CIS é abrangente, no sentido do que é preciso para alcançar uma defesa robusta de cibersegurança: a segurança não é somente uma questão ou um problema de tecnologia, e as recomendações compreendem não apenas dados, software e hardware, mas também pessoas e processos.
