O Center for Internet Security (CIS) é uma organização sem fins lucrativos voltada para a comunidade, responsável pelos CIS Controls que são práticas recomendadas mundialmente reconhecidas para proteger sistemas e dados de TI.
🌐 No site do https://www.cisecurity.org/
- CIS Controls – Práticas recomendadas priorizadas e simplificadas
- CIS RAM – Método de avaliação de risco de segurança da informação
- Comunidade de controles CIS – Ajude a desenvolver e manter os controles
- CIS CSAT – Avaliar e medir a implementação de controles
- Community Defense Model for CIS – Abordagem mais baseada em dados de ataque e com análise e transparência às recomendações de segurança encontradas no CIS Controls.
CIS Controls
Caminho priorizado e prescritivo que define como alcançar a segurança cibernética
Desenvolvido por uma comunidade de especialistas em segurança cibernética
Mapeado para várias estruturas legais, regulatórias e políticas, simplificando a conformidade com a segurança cibernética
- Identificar
- Responder
- Detectar
- Proteger
Anteriormente, os Controles de segurança críticos do SANS (SANS Top 20), agora são oficialmente chamados de Controles de segurança críticos do CIS (Controles do CIS).
A versão 8 dos controles CIS combina e consolida os controles CIS por atividades, em vez de por quem gerencia os dispositivos. Dispositivos físicos, limites fixos e ilhas discretas de implementação de segurança são menos importantes; isso se reflete no v8 por meio da terminologia revisada e do agrupamento de salvaguardas, resultando em uma diminuição do número de controles de 20 para 18.
- CIS Control 1: Inventory and Control of Enterprise Assets
- CIS Control 2: Inventory and Control of Software Assets
- CIS Control 3: Data Protection
- CIS Control 4: Secure Configuration of Enterprise Assets and Software
- CIS Control 5: Account Management
- CIS Control 6: Access Control Management
- CIS Control 7: Continuous Vulnerability Management
- CIS Control 8: Audit Log Management
- CIS Control 9: Email Web Browser and Protections
- CIS Control 10: Malware Defenses
- CIS Control 11: Data Recovery
- CIS Control 12: Network Infrastructure Management
- CIS Control 13: Network Monitoring and Defense
- CIS Control 14: Security Awareness and Skills Training
- CIS Control 15: Service Provider Management
- CIS Control 16: Application Software Security
- CIS Control 17: Incident Response Management
- CIS Control 18: Penetration Testing
🌐 Download https://learn.cisecurity.org/cis-controls-download
Para o download o site pede algumas informações e você receberá um link para download onde é possível baixar uma planilha do excel ou um PDF. E na mesma pagina você encontra a versão PDF traduzida.
Grupos de implementação (IGs)
Ao consultar os controles você encontrará os Grupos de implementação (IGs) , orientação recomendada para priorizar a implementação dos Controles de segurança críticos.
Em um esforço para ajudar empresas de todos os tamanhos, os IGs são divididos em três grupos. Eles são baseados no perfil de risco e nos recursos que uma empresa tem à sua disposição para implementar os controles CIS.
Cada empresa deve começar com IG1. IG1 é definido como “higiene cibernética básica”, o conjunto básico de salvaguardas de defesa cibernética que toda empresa deve aplicar para se proteger contra os ataques mais comuns.
IG2 baseia-se em IG1 e IG3 é composto por todos os controles e salvaguardas.
CIS Critical Security Controls Navigator
https://www.cisecurity.org/controls/cis-controls-navigator/
Sem dúvida é um dos materiais mais importantes para auxiliar o profissional de segurança de informação ao definir controles de segurança.
Conteúdo mastigado e bem explicado.
Muito obrigado!