Blue team

S.Labs

O poder dos CIS controls como aceleradores de conformidade

A solução para os desafios de cibersegurança mais complexos passa pela adoção de práticas eficazes de proteção. As recomendações do center for internet security são uma boa resposta

Por David Grave, Senior Cybersecurity Consultant, Claranet Portugal . 18/06/2021

O poder dos CIS controls como aceleradores de conformidade

À medida que os desafios de cibersegurança se tornam cada vez mais complexos, também as melhores práticas para os enfrentar evoluem com rapidez semelhante, numa espécie de jogo que coloca a indústria das TI e os cibercriminosos em evolução permanente... por razões que são diametralmente opostas!

No contexto das soluções que a indústria vai desenvolvendo para se tentar antecipar e enfrentar este tipo de desafios, o Center for Internet Security (CIS) – uma organização sem fins lucrativos – surge como uma referência da cibersegurança, ao ser responsável pela divulgação de recomendações atuais e concretas – chamadas CIS Controls –, que têm como objetivo ajudar as organizações a encontrarem as melhores defesas contra as ciberameaças.

Os CIS Controls constituem um conjunto prescritivo e priorizado de ações defensivas de cibersegurança, que podem ajudar a evitar os ataques mais perigosos e disseminados. Permitem não só alcançar uma maior defesa global dos sistemas de IT, através de orientações específicas, mas também acelerar o cumprimento de objetivos e metas normativas, regulamentares e políticas, identificando um caminho claro para que as organizações consigam atingir estas metas.

Abordagem holística da segurança

Estas ações diferem de outras frameworks na sua abordagem pragmática: agrupam um total de 171 subcontrolos, todos atuáveis do ponto de vista tecnológico em 20 áreas distintas, que passam por pontos chaves como a inventariação e o controlo de ativos, pela gestão de vulnerabilidades, controlo de privilégios administrativos, até à recolha, monitorização e correlação de logs, recuperação e proteção de dados, bem como testes de intrusão e Red Team.

Estes controlos estão ainda divididos em três grupos de implementação – controlos básicos, controlos essenciais e controlos organizacionais –, ajudando na identificação de prioridades, no desenho de um roadmap e na definição de um orçamento adequado para a área da cibersegurança.

Ainda ao nível da capacitação que oferecem às organizações, os CIS Controls contemplam também o mapeamento direto para uma série de outras frameworks, normas de conformidade e segurança – incluindo RGPD, ISO 27001, NIST, PCI DSS, FISMA e HIPAA. Isto significa que podem ser usados como auxiliares ativos nos processos de cumprimento destes regulamentos, reforçando assim uma função dupla de proteção e conformidade de segurança.

Para organizações que procuram melhorar a sua postura de segurança e fortalecer as suas defesas contra os vetores de ataque, os Controlos de Segurança Críticos do CIS são um ponto de partida para reduzir o risco de exposição e mitigar a gravidade da maioria dos tipos de ataque perpetrados contra as organizações.

A Claranet utiliza ativamente os CIS Controls inseridos numa abordagem 360º, durante a qual avalia, juntamente com o cliente, o AS-IS e também o TO-BE destes controlos, de acordo com a criticidade da informação manipulada pela organização.

Usando uma abordagem holística, à semelhança do que a Claranet aplica, os CIS Controls podem tornar-se numa importante base de um programa de cibersegurança a implementar em qualquer organização, mas também num poderoso acelerador de conformidade, para corresponder às mais variadas normas e regulamentos sobre proteção de dados.

 

Conteúdo co-produzido pela MediaNext e pela Claranet


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº3 Dezembro 2021

IT SECURITY Nº3 Dezembro 2021

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.