O poder dos CIS controls como aceleradores de conformidade

À medida que os desafios de cibersegurança se tornam cada vez mais complexos, também as melhores práticas para os enfrentar evoluem com rapidez semelhante, numa espécie de jogo que coloca a indústria das TI e os cibercriminosos em evolução permanente... por razões que são diametralmente opostas!

No contexto das soluções que a indústria vai desenvolvendo para se tentar antecipar e enfrentar este tipo de desafios, o Center for Internet Security (CIS) – uma organização sem fins lucrativos – surge como uma referência da cibersegurança, ao ser responsável pela divulgação de recomendações atuais e concretas – chamadas CIS Controls –, que têm como objetivo ajudar as organizações a encontrarem as melhores defesas contra as ciberameaças.

Os CIS Controls constituem um conjunto prescritivo e priorizado de ações defensivas de cibersegurança, que podem ajudar a evitar os ataques mais perigosos e disseminados. Permitem não só alcançar uma maior defesa global dos sistemas de IT, através de orientações específicas, mas também acelerar o cumprimento de objetivos e metas normativas, regulamentares e políticas, identificando um caminho claro para que as organizações consigam atingir estas metas.

Abordagem holística da segurança

Estas ações diferem de outras frameworks na sua abordagem pragmática: agrupam um total de 171 subcontrolos, todos atuáveis do ponto de vista tecnológico em 20 áreas distintas, que passam por pontos chaves como a inventariação e o controlo de ativos, pela gestão de vulnerabilidades, controlo de privilégios administrativos, até à recolha, monitorização e correlação de logs, recuperação e proteção de dados, bem como testes de intrusão e Red Team.

Estes controlos estão ainda divididos em três grupos de implementação – controlos básicos, controlos essenciais e controlos organizacionais –, ajudando na identificação de prioridades, no desenho de um roadmap e na definição de um orçamento adequado para a área da cibersegurança.

Ainda ao nível da capacitação que oferecem às organizações, os CIS Controls contemplam também o mapeamento direto para uma série de outras frameworks, normas de conformidade e segurança – incluindo RGPD, ISO 27001, NIST, PCI DSS, FISMA e HIPAA. Isto significa que podem ser usados como auxiliares ativos nos processos de cumprimento destes regulamentos, reforçando assim uma função dupla de proteção e conformidade de segurança.

Para organizações que procuram melhorar a sua postura de segurança e fortalecer as suas defesas contra os vetores de ataque, os Controlos de Segurança Críticos do CIS são um ponto de partida para reduzir o risco de exposição e mitigar a gravidade da maioria dos tipos de ataque perpetrados contra as organizações.

A Claranet utiliza ativamente os CIS Controls inseridos numa abordagem 360º, durante a qual avalia, juntamente com o cliente, o AS-IS e também o TO-BE destes controlos, de acordo com a criticidade da informação manipulada pela organização.

Usando uma abordagem holística, à semelhança do que a Claranet aplica, os CIS Controls podem tornar-se numa importante base de um programa de cibersegurança a implementar em qualquer organização, mas também num poderoso acelerador de conformidade, para corresponder às mais variadas normas e regulamentos sobre proteção de dados.

Conteúdo co-produzido pela MediaNext e pela Claranet