CIS Controls
Quando pensamos em melhorar a Segurança da Informação em nosso negócio, comumente surgem as dúvidas do que já temos funcionando, se funciona bem, o que está faltando e onde quero chegar?
Para nos ajudar a responder essas questões e medir a maturidade da nossa segurança, temos alguns frameworks como o [NIST e SAMM](https://silva-andre.medium.com/dev-seguro-samm-e-nist-593871b86f9b), como falado anteriormente em outro post, e além deles temos também o CIS Controls, onde são elencados 18 controles críticos, identificando os processos e ferramentas que temos em funcionamento e o seu nível de maturidade, desdobrando em um panorama do que falta para atingirmos a maturidade desejada.
Conforme a imagem, percebemos que os controles estão dispostos, de acordo com sua prioridade, sendo divididos em 3 grupos de implementação, conhecidos como IG1, IG2 e IG3, começando com os controles do grupo 1 conhecido como “ciber higiene essencial”, posteriormente passando para os demais grupos.
Após todo esse entendimento, pode nos faltar um roteiro ou ferramenta que facilite a execução de todo esse levantamento, ou melhor, faltaria, pois temos a CIS CSAT Tool, criada com o intuito de guiar e auxiliar na priorização de cada controle que deve ser implementado, para alcançarmos a maturidade desejada.
Portanto, indiferente da parte do caminho que sua empresa esteja na maturidade de segurança, estes controles podem e devem te apoiar. Para entender melhor cada controle e como utilizar a ferramenta, acesse os links das referências e aplique-os da melhor forma, seja como matéria de estudo/laboratório ou na prática, em seu ambiente produtivo.
Obrigado pela leitura e até a próxima!
Referências:
