O momento que todos esperávamos finalmente chegou. O Center for Internet Security (CIS) lançou oficialmente o CIS Controls v8, que foi aprimorado para acompanhar a evolução da tecnologia (sistemas e software modernos), ameaças em evolução e até mesmo a evolução do local de trabalho. A pandemia mudou muitas coisas e também provocou mudanças nos controles CIS.
A versão mais recente dos controles agora inclui tecnologias móveis e em nuvem. Há até um novo CIS Control: Service Provider Management, que fornece orientação sobre como as empresas podem gerenciar seus serviços em nuvem.
Os controles CIS (anteriormente conhecidos como Controles de Segurança Críticos) são um conjunto recomendado de ações para defesa cibernética que fornecem maneiras específicas e acionáveis de parar os ataques mais difundidos e perigosos da atualidade.
A nova versão foi lançada essa semana durante a RSA Conference 2021 Global.
CIS 7.1 para 8 – O que muda?
Atualizado para acompanhar as constantes mudanças do ecossistema cibernético, o CIS Controls v8 foi aprimorado para acompanhar os sistemas e softwares modernos. A mudança para computação baseada em nuvem, virtualização, mobilidade, terceirização, home office e mudanças nas táticas do invasor, motivou a atualização e oferece suporte à segurança de uma empresa conforme eles mudam para ambientes totalmente em nuvem e híbridos.
- Grupo de Implementação 1 (IG1): IG1 é a definição de higiene cibernética básica e representa um padrão mínimo emergente de segurança da informação para todas as empresas. IG1 é um conjunto básico de salvaguardas de defesa cibernética que todas as empresas devem aplicar para se proteger contra os ataques mais comuns. IG2 e IG3 constroem sobre IGs anteriores, com IG1 sendo a rampa de acesso aos controles.
- Consistente e simplificado: Cada salvaguarda pede “uma coisa”, sempre que possível, de uma forma que seja clara e requeira uma interpretação mínima. Cada salvaguarda se concentra em ações mensuráveis e define a medição como parte do processo. A linguagem é simplificada para evitar duplicação.
- Foco baseado em tarefas independentemente de quem está executando o controle: a versão 8 combina e consolida os controles CIS por atividades, em vez de por quem gerencia os dispositivos. Dispositivos físicos, limites fixos e ilhas discretas de implementação de segurança são menos importantes e isso se reflete no v8 por meio da terminologia revisada e do agrupamento de salvaguardas, resultando em uma diminuição do número de controles de 20 para 18.
- Como as redes são basicamente sem fronteiras: o que significa que não há mais uma rede fechada e centralizada onde residem todos os terminais – os controles agora são organizados por atividade versus como as coisas são gerenciadas.
Mapa dos Controles – 7.1 para 8
Conclusão
Empresas que usam os controles como uma parte fundamental de sua estratégia defensiva podem relutar em mudar para a versão 8. A recomendação é que se sua empresa estiver usando a versão 7 ou a versão 7.1, você está seguindo um plano de segurança eficaz, e com o tempo, deve considerar a mudança para Versão 8. Se você estiver usando a versão 6 (ou anterior), a recomendação é que você deve começar a planejar uma transição para a versão 8 assim que possível.