Cybersecurity e Boas Práticas

As 56 medidas de segurança para garantir a Higiene Cibernética

No passado, os Controles do CIS eram organizados em uma sequência de prioridade para as atividades de segurança cibernética, de forma que os primeiros seis controles eram referenciados como a “higiene cibernética”. Este conceito mudou desde a versão passada, visto que muitas empresas tem dificuldade para implementar algumas das primeiras medidas e assim, não conseguiam avançar para os controles seguintes (por exemplo, implementar uma estratégia de backup para ajudar na recuperação em casos de ransomware).




Agora, existem os Grupos de Implementação (em inglês, IGs - Implementation Groups) que categorizam as Medidas de Segurança em cada um 18 Controles orientando a prioridade com base em sua dificuldade e custos de implementação. Começando pelo IG1, definido como a “higiene cibernética básica”, contém o conjunto básico de Medidas de Segurança para todas as organizações, o IG2 se baseia no anterior acrescido de mais algumas medidas e, finalmente o IG3 que completa todas as Medidas de Segurança.


Assim, por onde começar para implementar um programa de segurança cibernética? Pelo IG1, Grupo de Implementação 1, que é o conjunto de Medidas de Segurança essenciais para a proteção contra os principais ataques e ameaças digitais, com menos custos e dificuldade de implementar.


O IG1 é o padrão mínimo de segurança para todas as empresas, a ausência destes controles é o principal motivo para a maior parte dos ataques cibernéticos bem-sucedidos.


Segue a lista de Medidas de Segurança do Grupo de Implementação 1:


Controle 01. Inventário e controle de ativos corporativos


  • 1.1 Estabelecer e manter um inventário detalhado de ativos corporativos
  • 1.2 Endereçar ativos não autorizados


Controle 02. Inventário e controle de ativos de software


  • 2.1 Estabelecer e manter um inventário de software
  • 2.2 Assegurar que o software autorizado seja atualmente suportado
  • 2.3 Endereçar o software não autorizado


Controle 03. Proteção de dados


  • 3.1 Estabelecer e manter um processo de gestão de dados Dados
  • 3.2 Estabelecer e manter um inventário de dados Dados
  • 3.3 Configurar listas de controle de acesso a dados Dados
  • 3.4 Aplicar retenção de dados Dados
  • 3.5 Descartar dados com segurança Dados
  • 3.6 Criptografar dados em dispositivos de usuário final. Dispositivo


Controle 04. Configuração segura de ativos corporativos e software


  • 4.1 Estabelecer e manter um processo de configuração segura
  • 4.2 Estabelecer e Manter um Processo de Configuração Segura para a Infraestrutura de Rede
  • 4.3 Configurar o bloqueio automático de sessão nos ativos corporativos
  • 4.4 Implementar e gerenciar um firewall nos servidores
  • 4.5 Implementar e gerenciar um firewall nos dispositivos de usuário final
  • 4.6 Gerenciar com segurança os ativos e software corporativos
  • 4.7 Gerenciar contas padrão nos ativos e software corporativos


Controle 05. Gestão de contas


  • 5.1 Estabelecer e manter um inventário de contas
  • 5.2 Usar senhas exclusivas
  • 5.3 Desabilitar contas inativas
  • 5.4 Restringir privilégios de administrador a contas de Administrador dedicadas


Controle 06. Gestão do controle de acesso


  • 6.1 Estabelecer um Processo de Concessão de Acesso
  • 6.2 Estabelecer um Processo de Revogação de Acesso
  • 6.3 Exigir MFA para aplicações expostas externamente
  • 6.4 Exigir MFA para acesso remoto à rede
  • 6.5 Exigir MFA para acesso administrativo


Controle 07. Gestão contínua de vulnerabilidades


  • 7.1 Estabelecer e manter um processo de gestão de vulnerabilidade
  • 7.2 Estabelecer e manter um processo de remediação
  • 7.3 Executar a gestão automatizada de patches do sistema operacional
  • 7.4 Executar a gestão automatizada de patches de aplicações


Controle 08. Gestão de registros de auditoria


  • 8.1 Estabelecer e manter um processo de gestão de log de auditoria
  • 8.2 Coletar logs de auditoria
  • 8.3 Garantir o armazenamento adequado do registro de auditoria


Controle 09. Proteções de e-mail e navegador Web


  • 9.1 Garantir o uso apenas de navegadores e clientes de e-mail suportados plenamente
  • 9.2 Usar serviços de filtragem de DNS

Controle 10. Defesas contra malware


  • 10.1 Instalar e manter um software anti-malware
  • 10.2 Configurar atualizações automáticas de assinatura anti-malware
  • 10.3 Desabilitar a execução e reprodução automática para mídias removíveis


Controle 11. Recuperação de dados


  • 11.1 Estabelecer e manter um processo de recuperação de dados
  • 11.2 Executar backups automatizados
  • 11.3 Proteger os dados de recuperação
  • 11.4 Estabelecer e manter uma instância isolada de dados de recuperação


Controle 12. Gestão da infraestrutura de rede


  • 12.1 Assegurar que a infraestrutura de rede esteja atualizada


Controle 13. Monitoramento e defesa da Rede


  • <não possui Medidas de Segurança no IG1>


Controle 14. Conscientização sobre segurança e treinamento de competências


  • 14.1 Estabelecer e manter um programa de conscientização de segurança
  • 14.2 Treinar membros da força de trabalho para reconhecer ataques de engenharia social
  • 14.3 Treinar membros da força de trabalho nas melhores práticas de autenticação
  • 14.4 Treinar a força de trabalho nas Melhores Práticas de Tratamento de Dados
  • 14.5 Treinar membros da força de trabalho sobre as causas da exposição não intencional de dados
  • 14.6 Treinar Membros da força de trabalho no Reconhecimento e Comunicação de Incidentes de Segurança
  • 14.7 Treinar a força de trabalho sobre como identificar e comunicar se o seus ativos corporativos estão faltando atualizações de segurança
  • 14.8 Treinar a força de trabalho sobre os perigos de se conectar e transmitir dados corporativos em redes inseguras


Controle 15. Gestão de provedor de serviços


  • 15.1 Estabelecer e manter um inventário de provedores de serviços


Controle 16. Segurança de aplicações


  • <não possui Medidas de Segurança no IG1>


Controle 17. Gestão de respostas a incidentes


  • 17.1 Designar Pessoal para Gerenciar Tratamento de Incidentes
  • 17.2 Estabelecer e manter informações de contato para relatar incidentes de segurança
  • 17.3 Estabelecer e manter um processo corporativo para relatar incidentes


Controle 18. Testes de invasão


  • <não possui Medidas de Segurança no IG1>


A definição da “Higiene Cibernética Essencial” pode ser usada para definir uma estratégia inicial de segurança cibernética, priorizando a implementação de ações de segurança fundamentais e garantindo um nível de maturidade mínimo desejável para todas as organizações.


Concluímos reforçando que a implementação das Medidas de Segurança essenciais do IG1 dos Controles CIS constituem a base inicial para minimizar os riscos das ameaças e incidentes cibernéticos, garantindo um padrão de proteção mínima definido pelos especialistas para qualquer organização.


Para mais informações leia também o artigo sobre os Controles CIS:






Abraços e boa semana,


Alberto Bastos

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato