Frameworks

de Segurança:
Uma Análise Comparativa
entre CIS Controls, NIST CSF
e ISO/IEC 27001
No presente e-book, realizamos uma análise comparativa entre os
frameworks CIS Controls, NIST Cibersecurity Framework e ISO/IEC
27001. Tratam-se de três dos mais referenciados frameworks de
segurança disponíveis atualmente. Em nossa análise, enfatizamos
os pontos fortes de cada framework e avaliamos os cenários em
que cada um é mais recomendável.

2
Introdução
Frameworks de segurança são importantes ferramentas no mundo da
Segurança da Informação. A comunidade usa o termo "framework" para se
referir a qualquer referência normativa que possa ser utilizada como base para
o estabelecimento de um programa corporativo de segurança. Tipicamente,
frameworks de segurança se materializam na forma de documentos que
descrevem requisitos, controles e práticas de segurança que devem estar
presentes em uma organização. Frameworks são importantes pontos de
partida para o estabelecimento de políticas, processos e procedimentos em
diversas áreas – em particular, na área de segurança, onde são importantes
ferramentas para o gerenciamento de riscos cibernéticos.

Frameworks de segurança podem variar bastante quanto aos seus objetivos e

escopo. Por exemplo, existem diversos frameworks cujo setor de aplicação é
restrito, tais como a IEC 62443 (voltada para ambientes Tecnologia Operacional
e Sistemas de Controle e Automação), o PCI DSS (voltado para sistemas de
pagamento) e o SAE J3061 (voltado para sistemas veiculares), dentre muitos
outros exemplos de frameworks "setoriais". Existem, também, frameworks cujo
de escopo abrangente mas que acabam considerando, dentre outras, a questão
da segurança da informação; este é o caso do COBIT, um framework de
governança corporativa de TI que inclui um conjunto de práticas recomendadas
para gerenciamento de risco e Segurança da Informação.

Dentre os frameworks de segurança de aplicação "geral" - ou seja, aqueles

aplicáveis a qualquer tipo de organização - três frameworks possuem grande
destaque, seja pela abrangência de escopo, seja pelo amplo uso em
organizações: o CIS Controls, o NIST Cibersecurity Framework e a ISO/IEC
27001. Como veremos ao longo deste artigo, embora cada um destes
frameworks seja tecnicamente robusto, suas características e objetivos são
distintos, podendo levar a cenários de aplicação bastante diversos. O objetivo
deste artigo é mostrar essas diferenças, apoiando o leitor na construção de
uma estratégia de uso destes frameworks para a construção bem-sucedida de
um programa corporativo de segurança cibernética robusto.

3
1 Descrição
dos Frameworks

O CIS Controls é um framework de segurança da informação

desenvolvido pelo Center for Internet Security (CIS) para ajudar as
organizações a melhorar sua postura de segurança cibernética e
proteger seus sistemas críticos. O framework é composto por um
conjunto de controles de segurança cibernética e salvaguardas que
fornecem orientações claras sobre as melhores práticas de segurança
que devem ser implementadas para proteção contra ameaças
cibernéticas.

Os seus requisitos são divididos em grupos de implementação, sendo

que cada grupo contém um conjunto específico de controles que as
organizações devem implementar para aumentar seu nível de
segurança cibernética.

4
O CIS Controls é baseado em uma abordagem de defesa em camadas,
que envolve a implementação de conjuntos de controles de segurança em
etapas, de modo a viabilizar uma evolução incremental de maturidade em
segurança. Os controles são projetados para serem flexíveis e escaláveis,
permitindo que as organizações adaptem sua implementação de acordo
com suas necessidades específicas de segurança.

O framework é frequentemente atualizado para incluir novos controles e

orientações com base nas últimas ameaças cibernéticas e nas melhores
práticas de segurança. A versão atual do CIS Controls é a versão 8.0,
lançada em maio de 2021 e contando com um total de 18 macro
controles de segurança organizados em 153 salvaguardas.

5
 O NIST Cybersecurity Framework é um framework de segurança cibernética
desenvolvido pelo NIST (National Institute of Standards and Technology dos Estados
Unidos). O objetivo do framework é fornecer orientação para as organizações sobre
como gerenciar e reduzir o risco cibernético em suas operações.

O NIST Cybersecurity Framework é baseado em cinco funções que, quando

consideradas em conjunto, proporcionam uma visão estratégica do ciclo de
gerenciamento de riscos de uma organização:

Identificar

Recuperar
Proteger

Responder Detectar

• Identificar: compreensão dos riscos cibernéticos • Responder: desenvolvimento e implementação

a sistemas, pessoas, dados, capacidade e ativos
organizacionais.
• Proteger: implementação de controles para
proteger os ativos da organização reduzindo as
probabilidades e os impactos de eventos
adversos de segurança cibernética.
• Detectar: desenvolvimento e implementação de
mecanismos de detecção de ameaças e
incidentes de segurança cibernética como ponto
de partida para responder tempestivamente a
eventos de segurança cibernética.
de planos de resposta a incidentes que
permitam que a organização possa conter
danos e minimizar o impacto desses
incidentes.
• Recuperar: desenvolvimento e implementação
de planos de recuperação de desastres e
continuidade de negócios para garantir que a
organização possa se recuperar rapidamente
de incidentes de segurança cibernética.
6
A versão corrente do NIST Cybersecurity Framework é a 1.1, de abril de 2018, mas já
existe um "concept paper" sobre a versão 2.0 do Framework, assim como um
planejamento para a publicação desta nova versão. Na versão 1.1 corrente, as cinco
funções são divididas em 23 "categorias" que se subdividem em 108 subcategorias,
as quais representam controles e atividades de segurança.

Uma nova versão do NIST Cybersecurity Framework está prevista para ser lançada
no início de 2024 - e já existe um cronograma em andamento para isso. Um
“concept” paper foi lançado em janeiro de 2023 e apresenta algumas visões a
respeito do CSF 2.0:

1. O CSF 2.0 reconhecerá explicitamente o uso abrangente do CSF, esclarecendo

suas possíveis aplicações

2. O CSF 2.0 continuará sendo uma “framework”, fornecendo contexto e conexões

com os padrões e recursos existentes

3. CSF 2.0 (e recursos complementares) incluirá orientação atualizada e expandida

para sua implementação

4. O CSF 2.0 enfatizará a importância da governança de segurança cibernética

5. O CSF 2.0 enfatizará a importância do risco da cadeia de suprimentos de

segurança cibernética gerenciamento (C-SCRM)

6. O CSF 2.0 avançará na compreensão da medição de segurança cibernética

avaliação

A mudança mais “visível” para a grande maioria dos praticantes de segurança será,
provavelmente, derivada da “visão 4” acima, já que ela tem como consequência a
criação de um sexto elemento funcional “Governar” - em complemento aos
clássicos “Identificar”, “Proteger”, “Detectar”, “Responder” e “Recuperar”

7
A ISO/IEC 27001 é um framework de Segurança da Informação que estabelece
requisitos e diretrizes para a gestão da Segurança da Informação em uma
organização. O objetivo principal do ISO/IEC 27001 é fornecer uma estrutura para
estabelecer, implementar, manter e melhorar continuamente a gestão da Segurança
da Informação em uma organização. Isso inclui a avaliação e tratamento dos riscos
de Segurança da Informação, a implementação de controles de Segurança da
Informação e a manutenção da eficácia desses controles ao longo do tempo.

A versão atual do framework é de 2022 e possui duas partes: uma parte principal
que descreve os requisitos de um Sistema de Gestão de Segurança da Informação e
um anexo que enumera os controles que devem ser estabelecidos para atender a
tais requisitos. Os controles da segurança da informação listados no anexo da
ISO/IEC 27001:2022 são diretamente derivados e alinhados com aqueles listados
na ISO/IEC 27002:2022.

8
2 Análise crítica: os pontos
fortes de cada framework
Uma vez descritas as características gerais do CIS Controls, do NIST CSF e do
ISO/IEC 27001, apresentamos uma análise crítica destes três frameworks,
destacando os pontos fortes e potenciais cenários de aplicação de cada um.

O CIS Controls é, possivelmente, o mais "pragmático" framework de

segurança disponível na comunidade. Ao orientar sua estrutura aos
controles que efetivamente mitigam os riscos cibernéticos a que
organizações estão sujeitas, o CIS Controls proporciona uma visão
muito concreta do status de segurança da organização.

Mais ainda, ao estabelecer "grupos de implementação", o framework

permite que as organizações implementem controles em etapas que
representam uma "crescente de maturidade". Organizações em
estágios iniciais de maturidade podem se concentrar no primeiro
grupo de implementação, onde se encontram os controles mais
básicos (os quais são referenciados conjuntamente como
"ciber-higiene"). Organizações mais maduras podem mirar no
segundo e no terceiro grupos de implementação. O CIS disponibiliza,
ainda, uma série de planilhas e ferramentas para acompanhar a
evolução da maturidade.

Inclusive, existe uma métrica que consolida status de maturidade

em uma "nota" de zero a dez, a qual considera o conjunto de
controles implantados, documentados e praticados na organização -
tal métrica constitui um importante recurso para acompanhamento
gerencial da evolução da maturidade.

9
Análise crítica: os pontos fortes
de cada framework

O NIST Cybersecurity Framework tem como característica-chave a

sua orientação a riscos. O framework oferece uma linguagem
comum e uma metodologia sistemática para tratar riscos
cibernéticos em uma organização, permitindo atuar nos vários
níveis, desde executivos sêniores, passando pelos níveis de negócio
e processos, até o nível de implementação e operações.

Por meio do uso e da criação de "perfis" ("profiles"), é possível

identificar áreas onde processos precisam ser criados ou que
possam ser fortalecidos. Interessante mencionar que o Framework
foi concebido com foco nas chamadas "infraestruturas críticas" - no
entanto, sua versatilidade mostrou, ao longo do tempo, que ele pode
ser aplicado a todo tipo de organização, inclusive, pequenas e
médias empresas.

10
Análise crítica: os pontos fortes
de cada framework

A norma ISO/IEC 27001 estabelece os requisitos de um Sistema de

Gestão de Segurança da Informação. Como todas as normas de
sistemas de gestão da ISO, o foco da ISO/IEC 27001 é o
estabelecimento de processos que dêem sustentação de longo prazo
às práticas e atividades de segurança da informação, viabilizando um
ciclo de melhoria contínua.

Trata-se, portanto, de um framework com grande foco nos processos

- mas os controles estão presentes no anexo da Norma. Outro
aspecto importante importante da ISO/IEC 27001 é a possibilidade
de demonstração de conformidade por meio de um processo de
certificação, onde uma terceira parte realiza auditorias e atesta
formalmente o atendimento aos requisitos da norma, num processo
que provê reconhecimento internacional à certificação obtida.

11
3 Roadmap: aproveitando o
melhor de cada framework
Uma vez apresentadas características e peculiaridades dos
vários frameworks, uma pergunta natural é: como utilizar os
frameworks para construir um programa de segurança
cibernético efetivo na mitigação de riscos cibernéticos?

A resposta exata irá depender das características da

organização, mas algumas orientações objetivas podem ser
dadas no sentido de selecionar o framework de referência
para a estruturação de um programa corporativo de segurança
cibernética.

13
Mapeamentos entre os Frameworks.

Interessante destacar que, ainda que os objetivos dos diversos frameworks de

segurança difiram entre si, existe uma grande consistência entre os requisitos e
controles neles definidos. O NIST Cybersecurity Framework realiza um excelente
trabalho de mapeamento entre os requisitos de controles definidos em diversos
frameworks, incluindo mas não se limitando ao CIS Controls e à ISO/IEC 27001.
Como exemplo ilustrativo, tomemos a primeira subcategoria da primeira categoria da
função Identificar - a saber o inventário de ativos físicos.

Trata-se de um requisito/controle básico em praticamente todo framework de

segurança; no caso do CIS Controls, é o primeiro controle, e no caso da ISO/IEC
27001, considerando a versão de 2013 (versão corrente quando do lançamento da
NIST Cybersecurity Framework v1.1), são os controles A.8.1.1 e A.8.1.2.

A existência de mapeamentos entre os requisitos/controles existentes nos vários

frameworks evidencia a consistência técnica entre eles e nos dá a segurança de que,
do ponto de vista técnico, as ações para mitigar riscos cibernéticos são,
essencialmente, as mesmas - o que varia são as abordagens e estratégias para
estruturar tais ações dentro de um programa corporativo de segurança cibernética.

12
Grau de maturidade em segurança
da organização
Organizações em estágios iniciais de segurança tendem a se beneficiar bastante de
um framework "pragmático" como o CIS Controls, onde os controles de segurança
são apresentados de forma concreta e organizados em grupos de implementação.
Organizações mais maduras podem seguir na linha do NIST Cybersecurity
Framework ou da ISO/IEC 27001, dependendo de seus objetivos estratégicos.

Organizações que tenham um perfil de riscos cibernéticos peculiar e que demandem

uma seleção mais criteriosa de controles e atividades de segurança podem optar
pelo NIST Cybersecurity Framework, baseado no qual poderão construir um "profile"
personalizado de acordo com sua realidade de riscos cibernéticos.

Organizações com foco em governança e que queiram promover um sistema de

gestão de segurança da informação num modelo de melhoria contínua e com
possibilidade de demonstração de conformidade por meio de certificação tendem a
seguir com a ISO/IEC 27001.

Setor de operação da organização

O setor de atuação da organização poderá ser decisivo na definição do framework a
ser adotado na construção de um programa corporativo de segurança cibernética.
Em setores mais maduros ou mais regulados, os padrões NIST Cybersecurity
Framework e ISO/IEC 27001 tendem a ser mais recomendados que o CIS Controls.

O NIST Cybersecurity Framework é particularmente relevante nos setores de

infraestruturas críticas, onde inúmeros "profiles" podem ser encontrados
recomendando abordagens específicas para a construção de programas de
segurança cibernética. Como discutimos anteriormente, alguns setores possuem
frameworks de segurança específicos a serem seguidos, além destes três
frameworks que são o foco deste artigo.

14
Necessidade de demonstração
da conformidade
Um elemento possivelmente decisivo a ser considerado é a necessidade de
demonstração de conformidade perante terceiros - tais como clientes, reguladores e
seguradoras. Neste caso, o framework natural a ser considerado é a ISO/IEC 27001,
pois a norma está associada a uma estrutura internacional de avaliação da
conformidade: a norma possui uma versão nacional (ABNT) internalizada a partir
versão original e a avaliação da conformidade (certificação do Sistema de Gestão de
Segurança da Informação) é feita por um organismo de certificação acreditado de
acordo com normas e padrões internacionais - tudo isso promovendo um
reconhecimento inquestionável da conformidade da organização.

Essa capacidade de demonstrar conformidade traz benefícios indiretos

interessantes, tal como a redução do esforço na resposta a questionários de clientes
sobre segurança - tais clientes frequentemente se satisfazem com a informação de
que o fornecedor é certificado ISO/IEC 27001.

15
 A abordagem da Clavis
O time de Governança, Risco e Conformidade (GRC) da Clavis já apoiou centenas de
empresas na construção e manutenção de seus programas corporativos de
segurança cibernética, tendo realizado 83 Análises de Gap no ano de 2022. A partir
desta experiência, a Clavis pode construir uma abordagem que otimiza a jornada do
cliente em busca do amadurecimento em segurança, conforme descrevemos a
seguir.

Por conta da simplicidade de seu modelo de aplicação e recursos para

monitoramento de maturidade - inclusive com métricas objetivas para reportar
índices de maturidade - a Clavis utiliza o framework CIS Controls como referência
preferencial para acompanhar a evolução dos programas de segurança cibernética
de seus clientes - mesmo que o cliente utilize outros frameworks de maneira
complementar. O acompanhamento da maturidade é materializado por meio da
realização de atividades de Análise de Gap, os quais podem ser anuais ou
semestrais, dependendo das características do cliente. O relatório de Análise de Gap
vem sempre acompanhado de um Plano de Ação que contém as recomendações
para evolução da maturidade em segurança, conforme a realidade observada
naquela organização. Conforme interesse do cliente, a Clavis pode apoiar e se
envolver nas execução das ações previstas no plano de ação ou apenas avaliar a
efetividade das ações executadas pelo cliente, por meio de realização posterior de
uma nova Análise de Gap.

O framework CIS pode ser complementado - ou até, em algum momento, substituído -

por outros frameworks, no caso de clientes que tenham objetivos específicos.
Organizações com necessidade frequentes de demonstração de conformidade (por
exemplo, frente a seus clientes ou órgãos reguladores) tendem a privilegiar o uso da
ISO/IEC 27001 como padrão de referência. Já organizações em setores de
infraestruturas críticas muitas vezes optam pelo NIST Cybersecurity Framework,
principalmente pelo fato de que muitas regulações nestes setores já se baseiam no
padrão do NIST como referência técnica. Finalmente, clientes que tenham
necessidades específicas por conta de seus setores de atuação também podem
complementar todos esses frameworks com o uso de frameworks setoriais.

16
Considerações finais
Se sua organização está buscando estruturar um programa de segurança cibernética,
um dos primeiros passos é selecionar o arcabouço normativo que servirá como
referência para a definição de controles, políticas, processos e procedimentos. Se a
organização atua num setor onde é clara a necessidade de aderência a uma norma
em particular, então esta norma deverá ser a referência inicial.

Por outro lado, se existe espaço para a seleção de normas abrangentes, é bastante
razoável realizar uma escolha entre CIS Controls, NIST Cybersecurity Framework e
ISO/IEC 27001. Embora tais padrões sejam tecnicamente consistentes entre si, cada
um deles possui objetivos e abordagens próprias, levando a cenários de aplicação
distintos.

Cada organização deve entender seu status de maturidade e seus objetivos

estratégicos em segurança da informação antes de selecionar o conjunto de
frameworks que irá apoiar a construção e manutenção de um programa corporativo
de segurança cibernética.

17
Autores

Raphael Machado
Sócio - Fundador da Clavis

Líder de Pesquisa e Desenvolvimento e co-fundador da

Clavis, possui mais de duas décadas de atuação na
área de Segurança. Possui doutorado em Engenharia
de Sistemas e Computação pela COPPE/UFRJ.
Coordenou dezenas de projetos de P&D que deram
origem, não-apenas, a mais de uma centena de artigos
científicos, mas também, a ferramentas e métodos
aplicados na prática em centenas de organizações.

Luiz Nascimento
Gerente de Soluções da Clavis

Pós graduado em Gestão Empresarial e Segurança da

Informação pela UFF – Universidade Federal
Fluminense, Auditor Líder em Sistema de Gestão de
Segurança da Informação ISO 27001. Atuação de mais
de 15 anos na área de Segurança da Informação
participando de projetos de implantação de Sistema de
Monitoramento, certificações ISO 27000,
implementação de Análise de Riscos utilizando
frameworks como o COBIT, PCI, ISO 27002 e COSO.

18
ACESSE NOSSAS REDES SOCIAIS E CONHEÇA MAIS

Entre em contato conosco

21 98375-0375