Os CIS Controls, sendo CIS a sigla para Center for Internet Security, são um conjunto priorizado de ações de cibersegurança que compõem uma abordagem de defesa em profundidade, com práticas recomendadas específicas e acionáveis para mitigar os ataques cibernéticos mais comuns.

Embora inicialmente desenvolvidos pelo SANS Institute e conhecidos como SANS Critical Controls, os CIS Controls agora são gerenciados pelo Center for Internet Security e desenvolvidos por uma comunidade de especialistas que aplicam sua experiência como CISOs e profissionais de segurança, criando práticas recomendadas de segurança globalmente aceitas. Esses especialistas vêm de uma ampla gama de setores, incluindo varejo, manufatura, saúde, educação, agências governamentais e defesa.

Por que os CIS Controls são importantes?

Os CIS Controls são importantes porque minimizam o risco de violações de dados, vazamentos de dados, roubo de propriedade intelectual, espionagem corporativa, roubo de identidade, perda de privacidade, negação de serviço e outras ameaças cibernéticas.

Confira também: 10 Métodos para Implementar o CIS Controls em Ambientes Linux e Windows

Como profissionais de segurança, temos acesso a uma variedade de ferramentas e tecnologias de segurança, padrões de segurança, treinamento, certificações, bancos de dados de vulnerabilidades, melhores práticas, controles de segurança, listas de verificação, benchmarks e recomendações.

Para nos ajudar a entender as ameaças, temos a introdução de classificações de segurança, classificações de segurança de terceiros, detecção de vazamento de dados e a Estrutura de Segurança Cibernética do NIST. Sem mencionar que estamos cercados por requisitos regulatórios como HIPAA, GDPR, LGPD, CCPA, FISMA, CPS 234, GLBA, PCI DSS e PIPEDA que exigem estruturas claras de gerenciamento de risco de terceiros, gerenciamento de risco de fornecedores e metodologias robustas de avaliação de risco.

Não há escassez de informações disponíveis para profissionais de segurança interessados ​​sobre o que fazer para proteger suas organizações. Mas toda essa tecnologia, informação e supervisão resultaram em opções, prioridades, opiniões e alegações concorrentes que podem distrair da missão final de fechar vetores de ataque e reduzir sua superfície de ataque.

Os CIS Controls nos ajudam a responder perguntas como:

• Quais são as áreas mais críticas para estabelecer um programa de gerenciamento de risco?
• Quais etapas defensivas fornecem o maior valor?
• Como podemos rastrear a maturidade do nosso programa de gerenciamento de risco?
• Como podemos compartilhar nossos insights sobre ataques e invasores e identificar as causas raízes?
• Quais ferramentas são melhores e para resolver quais problemas?
• Quais CIS Controls mapeiam as estruturas regulatórias e de conformidade da minha organização?

Por que os CIS Controls funcionam?

Os controles CIS funcionam porque são:

• Fundamentados por ataques comuns e defesas eficazes.

• Refletem o conhecimento de especialistas de empresas, governo e indivíduos, bem como setores (governo, energia, defesa, finanças, transporte, academia, consultoria, segurança, TI).

• De todas as funções (analistas e respondedores de ameaças, tecnólogos, descobridores de vulnerabilidades, criadores de ferramentas, provedores de soluções, defensores, usuários, formuladores de políticas, auditores, etc.).

Os CIS Controls evoluíram da lista de consenso de controles de segurança que especialistas em segurança acreditam ser as melhores técnicas defensivas para evitar violações de dados e mitigar os danos causados ​​por ataques cibernéticos.

Além de bloquear o acesso não autorizado, os CIS Controls também abordam a detecção de indicadores de comprometimento e a prevenção de ataques adicionais.

Como tal, o CIS separa os controles em três categorias, básico, fundamental e organizacional, independentemente do setor. Essas categorias e a priorização dos controles é o que faz os CIS Controls funcionarem tão bem.

Quais são os cinco princípios essenciais da defesa cibernética eficaz?

Os cinco princípios essenciais de um sistema de defesa cibernética eficaz são:

1. A ofensiva informa a defesa: use ataques reais como base para construir defesas práticas e eficazes, evitando medidas que não funcionam no mundo real.

2. Priorização: concentre-se em controles que ofereçam a maior redução de risco e que sejam viáveis de implementar.

3. Medições e métricas: utilize métricas padronizadas para avaliar a eficácia das medidas de segurança e facilitar a comunicação entre equipes.

4. Diagnóstico contínuo: monitore constantemente a postura de segurança para validar e aprimorar os controles adotados.

5. Automação: automatize os controles para garantir escala e aderência, incluindo o monitoramento da segurança de fornecedores.

Quais são os 20 Critical Security Controls?

Os 20 Critical Security Controls para defesa cibernética eficaz (às vezes chamados de SANS Top 20) são divididos em três grupos:

1. CIS Controls básicos (1-6) são o ponto de partida para a segurança cibernética de qualquer organização
2. CIS Controls fundamentais (7-16)
3. CIS Controls organizacionais (17-20).

Para obter mais informações sobre os Critical Security Controls CIS e Safeguards (anteriormente conhecidos como subcontroles), baixe o whitepaper da CIS Security.

1. Inventário e controle de ativos de hardware

2. Inventário e controle de ativos de software

3. Gerenciamento contínuo de vulnerabilidades

4. Uso controlado de privilégios administrativos

5. Configuração segura para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores

6. Manutenção, monitoramento e análise de logs de auditoria

7. Proteções de e-mail e navegador da Web

8. Defesas contra malware

9. Limitação e controle de portas de rede, protocolos e serviços

10. Recursos de recuperação de dados

11. Configuração segura para dispositivos de rede, como firewalls, roteadores e switches

12. Defesa de limite

13. Proteção de dados

14. Acesso controlado com base na necessidade de saber

15. Controle de acesso sem fio

16. Monitoramento e controle de contas

17. Implementar um programa de conscientização e treinamento de segurança

18. Segurança de software de aplicativo

19. Resposta e gerenciamento de incidentes

20. Testes de penetração e exercícios de Red Team.

Confira também: 10 Estratégias para Fortalecer a Segurança de Redes Wi-Fi Utilizando CIS Controls

Prepare-se para aplicar os CIS Controls na prática

Entender os CIS Controls é um passo essencial para quem deseja fortalecer a segurança de sua organização — mas saber aplicá-los com eficácia é o que realmente faz a diferença. Se você quer sair da teoria e mergulhar em estratégias práticas, com exemplos reais e orientações acionáveis, o Curso Fundamentos em Cibersegurança na Prática é o caminho ideal.

👉 Garanta sua vaga agora e aprenda a implementar controles de segurança com confiança e precisão. Segurança eficaz começa com conhecimento aplicado!

CONFIRA TAMBÉM:

• 
  18.04.2025 | Carreiras em Cibersegurança

  Spyware o que é e como evitar?

  Por causa de sua popularidade, a internet se tornou um alvo ideal para publicidade. Como resultado, spyware, ou adware, tem se tornado cada vez mais prevalente. Ao solucionar problemas com seu computador, você pode descobrir que […]

• 
  16.04.2025 | Carreiras em Cibersegurança

  O que é um honeypot?

  Um honeypot é um sistema conectado à rede configurado como uma isca para atrair ciberataques e ajudar organizações a detectar, desviar e estudar tentativas de hacking que atores mal-intencionados usam para obter acesso não autorizado à […]