19 de DEZEMBRO
Qual é o próximo passo? Onde é melhor investir? O que devo priorizar? Essas são questões importantes e que fazem parte da vida dos gestores de TI na hora de gerir seus orçamentos. Dentre o oceano de opções que o mercado nos apresenta, como identificar qual é o passo correto a dar?
O primeiro passo deve ser olhar para o seu ambiente atual e identificar aquilo que já está em operação, seja relacionado à infraestrutura como também em segurança, da proteção de endpoints ao firewall, da arquitetura da rede ao datacenter. Neste momento é comum encontrar pontos que apresentam fácil oportunidade de melhoria.
Por que utilizar o CIS Controls?
A resposta é simples, mas não simplória, a melhor forma de seguir com este processo é através de frameworks como o CIS Controls (Center for Internet Security). Mas por que não seguir por conta baseado exclusivamente na análise do seu ambiente? Justamente para não se reinventar a roda. O seu tempo é também um ativo de alto valor e não olhar para as alternativas já existentes pode ser uma forma de desperdiçá-lo.
Existem outros frameworks além do CIS Controls, como o NIST (National Institute of Standards and Technology). No entanto, quando buscamos um caminho mais prático e técnico, o CIS Controls se destaca como uma das alternativas mais eficazes. Sendo uma instituição sem fins lucrativos, tem por missão tornar o mundo conectado um lugar mais seguro desenvolvendo, validando e promovendo as melhores práticas do momento para que ajudem pessoas, empresas e governos a se protegerem contra ameaças cibernéticas disseminadas.
Como é a estrutura do CIS Controls?
Hoje o CIS Controls é constituído por 18 controles e dividido em três grupos de maturidade, o IG1, IG2 E IG3. Cada grupo corresponde a determinado nível de maturidade cibernética, onde encontram ameaças e riscos característicos do momento em que se encontram. Para avançar de grupo é necessário ter todos os controles relacionados ao grupo anterior, não podendo, por exemplo, ser IG3, sem ter cumprido com os controles relacionados ao IG1 e IG2. Portanto, contamos com um caminho a se seguir, que nos guia para um processo de evolução da maturidade cibernética.
O IG1 relaciona-se principalmente com empresas pequenas ou médias, que têm baixa tolerância para indisponibilidade, o que no Brasil segue como uma das maiores necessidades, e que sua maior preocupação é com a manutenção do negócio, normalmente assistidos exclusivamente por terceiros nas demandas de TI. Neste grupo, os dados não costumam ter maior criticidade, sendo principalmente pessoais e relacionados aos funcionários além de dados financeiros.
Já ao tratarmos do IG2, podemos entender que as empresas deste grupo além de possuírem uma área de TI, são contempladas também com alguém responsável pela parte de segurança da informação. Normalmente a TI já está mais inserida no negócio da empresa e suporta os demais setores.
É comum que neste grupo seja necessário prezar pela confidencialidade das informações e atender a demandas de conformidade e regulações de mercado. Além disso, danos à imagem da empresa passam a ter maior notoriedade, já que estas conseguem ter maior resiliência a breve interrupções.
Já o IG3 conta com empresas que possuem um setor de Cibersegurança estabelecido que trata dos diversos riscos e ameaças. Essas empresas possuem os mesmos riscos dos grupos anteriores e ainda estão em um cenário onde a sensibilidade dos dados trabalhados costuma aumentar, bem como as demandas regulatórias também possuem maior grau de severidade. O impacto de um ataque bem-sucedido em empresas do IG3 pode inclusive afetar o bem-estar público.
Dentro do contexto brasileiro seja possível encontrar empresas que não se encaixem completamente em um grupo específico, mas que apresentem um aspecto híbrido. Afinal, a descrição das empresas quando correlacionadas aos grupos lembram muito mais o mercado americano do que o brasileiro. É possível encontrar em território nacional empresas que apesar de terem setores de TI dedicados, sofrem com o baixo investimento ou com equipes reduzidas.
Mesmo diante das peculiaridades do nosso mercado, o CIS Controls permanece sendo um framework bastante eficaz, principalmente quando trabalhado de maneira continua após a sua implantação. Parte da sua eficácia é fruto dos 18 controles empregados, além da divisão dos grupos e conceitos de trabalho bem definidos como “data”, “network devices”, que auxiliam em um entendimento uniforme do ambiente.
Como o CIS Controls é utilizado?
Cada um dos 18 controles possui salvaguardas, que devem ser atingidas para que as empresas estejam em conformidade com o seu respectivo grupo. De maneira que os grupos não representam uma divisão direta ou sequencial desses controles. Ou seja, o IG1 não se limita apenas aos controles 1 a 6, nem o IG2 aos controles subsequentes.
Na prática, cada grupo contempla um conjunto de salvaguardas específicas, que estão distribuídas ao longo de diferentes controles, de acordo com o nível de maturidade e perfil de risco das organizações. Cada controle tem sua respectiva importância e relevância e, dependendo do grupo em que se está, há controles que não demandarão ação alguma.
Quando nos reportamos ao IG1, os controles que mais demandam salvaguardas deste grupo são o de Data Protection (proteção de dados), Secure Configuration of Enterprise Assets and Software (Configuração segura dos ativos e softwares da empresa) e Security Awareness and Skills Training (Treinamento de conscientização e capacitação em Segurança).
O controle de Data Protection trata da identificação, classificação, proteção e descarte seguro dos dados, com foco em prevenir acessos não autorizados, vazamentos, perda ou alteração indevida das informações. Já o controle de Secure Configuration of Enterprise Assets and Software fornece orientações para a definição e aplicação de configurações seguras em sistemas e softwares, buscando reduzir superfícies de ataque e minimizar vulnerabilidades conhecidas.
Em alinhamento com a crescente demanda por treinamentos de conscientização, o controle de Security Awareness and Skills Training concentra-se em promover as melhores práticas de segurança cibernética entre os usuários, com foco no comportamento humano e na capacidade de identificar, evitar e reportar ameaças, o treinamento é um dos principais pontos deste controle, para que o usuário saiba se proteger e reportar ataques quando necessário.
Nos grupos IG2 e IG3, as exigências se expandem consideravelmente: praticamente todos os 18 controles passam a conter salvaguardas aplicáveis, refletindo o nível de sofisticação, criticidade dos ativos e demandas regulatórias típicas de organizações mais maduras.
Se você ainda tem dúvida de qual é a melhor forma de aumentar a sua resiliência cibernética e como o fazê-lo ou, simplesmente deseja um apoio de pessoas especializadas, nós da Integrasul podemos auxiliá-los através do nosso serviço de Diagnóstico de Maturidade de Segurança da Informação (DMSI), estruturado no CIS Controls e com acesso à nossa plataforma exclusiva, acompanhamos a sua empresa na jornada de amadurecimento cibernético através de consultoria especializada.
Entre em contato com nossa equipe comercial e saiba mais.
