Traduzido do Inglês para o Português - www.onlinedoctranslator.

com

Como planejar

uma Cibersegurança

Roteiro em
Quatro etapas

Como planejar um roteiro de segurança cibernética em quatro etapas 1

Conteúdo

Sumário executivo 1 Pegue a estrada: implemente seu roteiro de segurança cibernética 17

Por que sua organização precisa de um roteiro de segurança cibernética
Introdução2
Elaborando uma visão para suas necessidades de segurança cibernética3
Quatro etapas principais para criar um roteiro de segurança cibernética que cresça com
sua empresa4
Introdução17
2 Comece com a higiene cibernética essencial17
Foco no gerenciamento de configuração segura19
Automatize seus esforços de endurecimento20
Ganhando terreno com seu roteiro de segurança cibernética21

Olhe para o seu futuro em segurança cibernética4

Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 23
Introdução23
5
23
Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética
Avaliação: a chave para contextualizar a implementação Simplifique
Introdução5 seus processos de segurança cibernética onde você pode navegar 24
Tenha uma visão ampla de onde você está6
em um destino em constante mudança26
Vincule o negócio à sua tecnologia7

A maquinaria certa para a “vontade de gestão” certa9

Conclusão 27
A próxima etapa para seu roteiro de segurança cibernética9

sobre os autores 28
Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 11
Introdução11
O valor de usar uma estrutura11
Tenha cuidado ao usar uma estrutura A 13
necessidade de estruturas de segurança 14
robustas simplifique o uso de uma estrutura16

Como planejar um roteiro de segurança cibernética em quatro etapas Conteúdo eu

Sumário executivo

As violações de dados acontecem quando tratamos a segurança cibernética como progresso. Afinal, nenhuma jornada de segurança cibernética é igual. O seu é
um destino. Se acreditarmos que a segurança está completa, isso pode levar a uma exclusivo para você. Se você tem clientes, a jornada de segurança cibernética
ilusão versus segurança na crença de que seus controles estão completos. A deles é exclusiva deles.
segurança nunca está completa, entretanto. Ao acreditar que sim, você pode ficar
Para ajudá-lo a planejar sua jornada, nós do Center for Internet Security (CIS)
vulnerável a uma violação, pois sua postura pode não estar necessariamente
criamos este guia. Seu objetivo é ajudá-lo a se preparar para sua jornada de
relacionada às ameaças que contornam os controles estáticos.
segurança cibernética, para que você possa evitar obstáculos comuns e desenvolver
sua maturidade em segurança cibernética da maneira mais tranquila possível. Ao
Isto é um problema, uma vez que os custos de uma violação de dados longo do guia, você aprenderá um processo de quatro etapas para planejar sua
continuam a aumentar ano após ano. Por exemplo, a IBM descobriu que a jornada de segurança cibernética. Você também receberá dicas sobre como mapear
violação média de dados custou US$ 4,35 milhões em 2022. Isso é 2,6% maior sua jornada de evolução na segurança cibernética de acordo com nossas práticas
que no ano anterior e 12,7% maior que o valor de 2020. A IBM também recomendadas de segurança e outros recursos.
observou que 83% das organizações sofreram mais de uma violação em 2022.
Em resposta aos custos de terem sofrido múltiplas violações, 60% dos
Como você descobrirá no próximo capítulo, tudo começa com a
entrevistados revelaram que aumentaram o preço dos seus serviços e ofertas.
conceituação de um roteiro de segurança cibernética.
também não é responsável pelos danos à reputação decorrentes de uma
violação de dados. De acordo com Varonis, em média 65% dos consumidores
perderam a confiança numa organização depois de esta ter sofrido uma
violação de dados. Uma tal queda nos negócios pode sobrecarregar ainda
mais a vítima da violação de dados, ameaçando a sua viabilidade a longo
prazo.

Felizmente, podemos minimizar o risco de violação de dados abordando a segurança

cibernética como uma jornada. É um processo. Mesmo que você saiba que tem trabalho
a fazer, ainda precisa de orientação específica para avançar em direção a uma jornada
de sucesso em vez de uma jornada de não sucesso.

Como planejar um roteiro de segurança cibernética em quatro etapas Sumário executivo 1

Por que sua organização precisa de um
roteiro de segurança cibernética
VALOR EM RESUMO
O CIS SecureSuite vem com benefícios,
ferramentas e recursos que podem
ajudar a guiá-lo através do processo de
quatro etapas de criação de um roteiro
exclusivo de segurança cibernética para
que você não precise
vá sozinho.
Como planejar um roteiro de segurança cibernética em quatro etapas
Introdução
Uma viagem espontânea pode ser muito divertida, mas não há dúvida de que às vezes será uma viagem
acidentada. O movimento com um plano de ação proporcionará uma jornada muito mais tranquila. Você poderá
visualizar melhor para onde gostaria de ir e como gostaria de chegar lá a partir de onde está agora. Como tal,
você precisa ser estratégico e planejar sua jornada com cuidado. Você pode fazer isso criando um roteiro de
segurança cibernética.
Vamos entender o que é um roteiro de segurança cibernética e discutir alguns dos
benefícios de criá-lo.
CONSELHOS DE UM ESPECIALISTA
O roteiro dá uma perspectiva às partes interessadas sobre a abordagem adotada para
proteger uma organização e mitigar riscos. O próprio roteiro deve ser generalizado de
forma a não ser excessivamente prescritivo. Em essência, não deve afetar a capacidade
de uma organização alterar o roteiro para enfrentar novos riscos ou ameaças
recentemente identificadas.
Sean Atkinson, diretor de segurança da informação do CIS
Por que sua organização precisa de um roteiro de segurança cibernética 2
Elaborando uma visão para suas necessidades de segurança cibernética

Um roteiro de segurança cibernética é uma avaliação da capacidade atual e uma análise de lacunas com uma visão de
curto a longo prazo para a integração de práticas de segurança. A necessidade de abordar a implementação futura, a
capacitação do controlo e um caminho a seguir é fundamental para fins organizacionais e de priorização. Se você não
planejar, então planejar o fracasso é a ênfase deste ponto. Observar o roteiro da jornada ajudará você a se alinhar aos
destinos de curto prazo para implementação de controle e estratégias de longo prazo para auxiliar na priorização. A
utilização deste método de avaliação e revisão conduzirá a eficiências na construção de um plano baseado no risco para
impedir lacunas a curto prazo e avaliações de maturidade a longo prazo num programa de segurança.

O roteiro deve delinear as tarefas anteriores ao longo do percurso, para que os controlos e a implementação DICA
complementem uma estratégia de segurança e gestão de riscos. Deve também dar uma perspectiva às partes
O próprio roteiro deve ser generalizado
interessadas sobre a abordagem adoptada para proteger uma organização e mitigar os riscos. O próprio roteiro
de forma a não ser excessivamente
deve ser generalizado de forma a não ser excessivamente prescritivo. Em essência, não deve afetar a capacidade prescritivo. Em essência, não deve afetar
de uma organização alterar o roteiro para enfrentar novos riscos ou ameaças recentemente identificadas. a capacidade de uma organização
alterar o roteiro para enfrentar novos
riscos ou ameaças recentemente
A capacidade de lidar com a agilidade é importante. Os itens priorizados devem ser suas primeiras paradas no roteiro, identificadas.
mas podem mudar, e muitas vezes, à luz das ameaças recém-identificadas. Por exemplo, você pode antecipar seus
planos de longo prazo para substituir um sistema de gerenciamento e controle de configuração após o surgimento de
uma nova vulnerabilidade, fazendo com que você coloque seus planos atuais em espera. Em última análise, você
precisa ter a capacidade de reconhecer um problema e abordá-lo como uma lacuna atual ou parte da jornada – mesmo
que inicialmente não o considere.

Como planejar um roteiro de segurança cibernética em quatro etapas Por que sua organização precisa de um roteiro de segurança cibernética 3
Quatro etapas principais para criar um roteiro de segurança cibernética que cresça com sua empresa

Seu roteiro de segurança cibernética será exclusivo para sua organização. Mesmo assim, há um conjunto de etapas que você pode usar
para criar um roteiro que atenda às suas necessidades específicas de segurança cibernética. Eles são os seguintes:

Saber seu Alinhe a um Implemente seu Revise, revise,

precisa conseguir estrutura para roteiro para e repita para
embalagem: planeje sua rota: pegue a estrada: tire uma foto instantânea:

Audite seu ambiente Identifique uma referência Execute o plano que você Examinar o
para definir uma base ponto que você pode usar tem em vigor para roteiro de segurança cibernética

para onde você deseja para organizar e planejar sua alcançar o essencial você implementou,
ir. segurança cibernética higiene cibernética. revisar e simplificar,
esforços ao redor. e iniciar o
processar novamente.

Felizmente, existem recursos para ajudar. A associação ao CIS SecureSuite fornece o que você precisa para que sua RECURSO
organização siga essas etapas. Inclui vários benefícios, ferramentas e recursos para fortalecer sua postura de
A associação ao CIS SecureSuite
segurança cibernética e aumentar sua maturidade em segurança cibernética ao longo do tempo. Ao longo dos
fornece o que você precisa para que
próximos capítulos, mostraremos como você pode usar a associação CIS SecureSuite para criar um roteiro que sua organização siga essas etapas.
atenda às suas necessidades exclusivas. Inclui vários benefícios, ferramentas
e recursos para fortalecer sua
postura de segurança cibernética e
Olhe para o seu futuro em segurança cibernética aumentar seu
maturidade da segurança cibernética ao longo do tempo.
O roteiro é um esboço de uma jornada detalhada que só o tempo dirá se o mapeamento voltado para o futuro é preciso
ou deve ser alterado com base em estímulos externos ao programa de segurança cibernética. Felizmente, este roteiro é
seu e somente seu. Você pode ajustar e construir onde for necessário para que fique alinhado com o que você está
enfrentando e para onde gostaria de ir.

LISTA DE AFAZERES

Mergulhe em nossa discussão no podcast para saber mais sobre roteiros de segurança cibernética.

Como planejar um roteiro de segurança cibernética em quatro etapas Por que sua organização precisa de um roteiro de segurança cibernética 4
 Conheça suas necessidades
Faça as malas para seu roteiro de segurança cibernética
VALOR EM RESUMO
Você precisa conhecer suas necessidades
para descobrir onde deseja chegar em
sua jornada de segurança cibernética. A
associação ao CIS SecureSuite oferece
acesso aos controles críticos de
segurança do CIS (controles CIS) e
ferramentas e recursos relacionados que
você pode usar para descobrir e
gerenciar seus ativos. Dessa forma, você
pode desenhar um roteiro, ajustá-lo de
acordo e seguir para as próximas etapas.
Como planejar um roteiro de segurança cibernética em quatro etapas
Introdução
Um roteiro para uma jornada é uma metáfora justa para um programa de melhoria da segurança cibernética, se permitirmos
algumas nuances. Na segurança cibernética, a situação é uma jornada “dinâmica”. As condições das estradas mudam
constantemente (como notamos no Waze). Muitos pontos da jornada que antes eram fixos podem mudar continuamente. Por
exemplo:
• Você pode começar a trabalhar com um novo fornecedor e precisar determinar sua postura de risco de segurança
cibernética.
• O ambiente regulatório pode mudar, deixando você com a tarefa de cumprir uma nova obrigação de
conformidade ou de trabalhar com seus clientes para ajudá-los a atender a um novo requisito do setor.
• Sua organização pode aprofundar a compreensão das ameaças que enfrenta, levando você a redefinir as
prioridades para onde deseja direcionar seus investimentos em segurança.
As duas primeiras considerações acima são desafios e oportunidades de negócios “normais” que afetarão sua
segurança cibernética. Um bom programa de melhoria da segurança cibernética (a jornada) inclui o planejamento da
mudança. Para um fornecedor, uma boa definição e processo de verificação e gerenciamento de fornecedores significa
que você pode minimizar o custo e o risco de mudar de fornecedor. Para questões regulatórias, um bom programa
significa que você será capaz de se adaptar aos novos requisitos de relatórios com custo e complexidade mínimos. A
última — ameaças — significa que uma melhor compreensão permite adaptar ou alterar prioridades como parte
normal da gestão de riscos empresariais.
Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 5
Todas essas mudanças influenciam sua próxima parada ao longo de sua jornada. Mas todo roteiro precisa de um ponto
de partida. Na segurança cibernética, o melhor lugar para começar é conhecer suas necessidades. Abaixo, discutiremos o
que esta etapa envolve, quais desafios você pode enfrentar ao fazer as malas para a jornada que tem pela frente, como
você pode superá-los e como o CIS pode ajudá-lo.

Tenha uma visão ampla de onde você está

Você não pode criar um roteiro de segurança cibernética e agir de acordo com ele, a menos que descubra primeiro
onde está. Em termos técnicos, referimo-nos frequentemente a uma “avaliação” como um bom ponto de partida. Mas
muitas avaliações podem ficar muito granulares rapidamente. A liderança empresarial muitas vezes não tem
experiência em TI, por isso pode ficar tentada a gastar muito tempo “contando o que pode ser contabilizado” – ativos
de TI, servidores, usuários, incidentes de segurança, etc. Eles devem ser claros quanto ao seu propósito comercial, às
principais dependências (como parceiros, fornecedores, pessoas) e como gerenciá-las. Este é apenas um negócio
básico.

Com o negócio em mente, você pode se perguntar o seguinte:

• Qual é o propósito do seu negócio?

• Quais fontes de informação e/ou serviços são essenciais para cumprir o propósito identificado do
seu negócio?

• Quais são suas dependências?

• Que riscos eles representam?

Muito disso requer a revelação de suposições implícitas ou tácitas. Muitos proprietários de empresas presumem que
compreendem seus riscos e dependências. Mas todos os incidentes de segurança nos dizem o contrário. Da mesma
forma, muitos assumem que são “demasiado pequenos para serem um alvo”; ransomware nos diz o contrário. Em
qualquer dia no ciberespaço, você é uma vítima, um ponto de partida no caminho para a vítima real ou um espectador
inocente. Nenhum de nós sabe realmente quem somos em um determinado dia, mas explorar suas suposições pode
começar a lhe dar uma ideia.

Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 6
Além disso, você pode achar necessário refinar adesivos vagos, como “Qualidade é a primeira tarefa” ou “Somos
voltados para o cliente”, em detalhes. A defesa cibernética é melhor vista como um programa de melhoria
contínua. Cada defensor tem um orçamento e um chefe, bem como restrições (como orçamento, pessoal e
ambiente regulatório). Assim, um programa bem sucedido terá algumas “vitórias” a curto prazo para estabelecer
credibilidade e impulso, bem como alguns passos fundamentais a longo prazo que poderão ser aproveitados mais
tarde. Levando ambos em consideração, você pode obter um contexto valioso que pode ser usado para navegar
pelas etapas a seguir.

CONSELHOS DE UM ESPECIALISTA

Não estamos buscando a perfeição. O que pretendemos fazer é chegar perto o suficiente para

tomar decisões razoáveis sobre riscos de negócios neste momento. Essas decisões sobre

riscos de negócios acabarão por mudar. Mas é como ter um roteiro de segurança cibernética

em geral. Você precisa de um lugar para começar.

Tony Sager, vice-presidente sênior do CIS e evangelista-chefe

Vincule o negócio à sua tecnologia

Depois de analisar e avaliar seu negócio, sua missão e suas dependências/riscos, você deve DICA
pegar esse conhecimento sólido e combiná-lo com um inventário da tecnologia que você
Depois de analisar e avaliar seu
possui.
negócio, sua missão e suas
Às vezes é mais fácil falar do que fazer. A maioria das organizações considera o inventário de tecnologia um dependências/riscos, você deve
pegar esse conhecimento sólido
desafio porque não possui o maquinário fundamental instalado para ver e gerenciar ativos. É mais do que um
e combiná-lo com um inventário
problema tecnológico, pois você também deve ter processos de negócios implementados para planejar, adquirir,
do que
fornecer e gerenciar tecnologia. Nem é um problema exclusivo de segurança. Trata-se de uma boa gestão de tecnologia que você tem.
ativos, semelhante ao que seria de esperar de ativos físicos.

Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 7
Esses tipos de perguntas podem vir à mente:

• Quantas instâncias de uma determinada tecnologia eu tenho?

• Em que condições eles estão?
• Onde eles estão localizados?

• Como eles são protegidos?

• Quem é responsável por eles?
• Quem pode acessá-los?

Os proprietários de empresas deveriam fazer o mesmo tipo de perguntas que fariam sobre qualquer ativo
físico ou financeiro. Temos a tendência de tratar as coisas de TI e cibernéticas como se houvesse magia ou
mistério envolvido. Por exemplo, seria inaceitável dizer que não sabemos muito sobre o nosso inventário de
produtos, onde estão, se foram testados ou não, e quem é responsável por eles, etc. de físico e “virtual”, mas
as mesmas questões se aplicam. Tenha em mente que desenvolver um inventário não é uma tarefa isenta de
falhas. O inventário de ativos de hardware e software é um processo e uma máquina, não um evento.
Portanto, você deve projetar a máquina para gerenciar essas informações de forma dinâmica. E você deseja
que as informações sejam geradas e fornecidas pela tecnologia. Uma área de transferência de ativos é um
ponto de partida se você não tiver mais nada, mas não é suficiente.

No geral, as pessoas tendem a ficar paralisadas quando percebem que nenhum inventário de hardware/software
é perfeito. Mas a perfeição não é uma meta alcançável. Os sistemas de TI e seu uso comercial são dinâmicos, para
não falar da habilidade dos invasores. O objetivo é ter visibilidade e controle de forma gerenciável. Os invasores
precisam viver e operar no mesmo ambiente dinâmico. Se as coisas nunca mudam, ou mudam sob controle, você
torna o trabalho do invasor muito mais complexo e arriscado para ele. Lembre-se que nem sequer temos um
inventário perfeito de espaço físico. Muitos programas de inventário ou medidas de segurança que exigem um
inventário sólido, como a lista de permissões de aplicativos e o gerenciamento de privilégios de administrador,
falharam – não por falta de tecnologia, mas por falta de “vontade de gerenciamento”.

Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 8
O que pretendemos fazer é chegar perto o suficiente para tomar decisões razoáveis sobre riscos de negócios neste
momento. Essas decisões sobre riscos de negócios acabarão por mudar. Mas é como ter um roteiro de segurança
cibernética em geral. Você precisa de um lugar para começar.

A maquinaria certa para a “vontade de gestão” certa

Se você tiver a motivação ou “vontade de gestão” necessária para desenvolver um inventário sólido, poderá
encontrar maquinário fundamental que o ajudará. Tomemos como exemplo os Controles CIS CIS. Os
controles CIS fornecem uma abordagem testada, verificada e transparente. Eles evitam a “mágica” da
segurança em favor de estabelecer as bases de uma boa visibilidade e gestão. Eles fazem isso desde o início
com o CIS Control 1: Inventory Control of Enterprise Assets e o CIS Control 2: Inventory and Control of
Software Assets. Essas medidas de segurança ajudam você a gerenciar ativamente seus ativos corporativos e
de software para saber o que precisa monitorar e proteger.

Dessa forma, você pode usar ambos os controles para identificar ativos não autorizados e não gerenciados e, assim, RECURSO
minimizar o risco de shadow IT.
Os controles CIS fornecem uma
Você pode implementar os Controles CIS 1 e 2 por conta própria. Alternativamente, você pode obter ainda mais abordagem testada, verificada e

suporte tornando-se um membro CIS SecureSuite. O CIS SecureSuite oferece acesso a ferramentas e recursos transparente. Eles evitam a “mágica” da
segurança em favor de estabelecer as
adicionais que você pode usar para priorizar a implementação dos Controles CIS 1 e 2 até o nível de salvaguardas
bases de uma boa visibilidade e gestão.
individuais. Dessa forma, você pode começar a monitorar suas ações para poder traçar o restante do seu roteiro
de segurança cibernética, ajustá-lo adequadamente e avançar nos esforços para atender aos requisitos de
conformidade complementares no processo.

A próxima etapa para seu roteiro de segurança cibernética

Usando os Controles CIS 1 e 2, você pode criar um inventário e começar a pensar se a tecnologia que você está
usando está apoiando sua missão comercial e como ela pode estar contribuindo para seus riscos. Essa percepção
é crucial para preparar um roteiro de segurança cibernética que atenda às suas necessidades e situações
específicas.

Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 9
 LISTA DE AFAZERES

Avalie seu negócio.

Use as seguintes perguntas para revelar suposições implícitas/não expressas e refinar
adesivos vagos sobre o que a empresa faz:
Qual é seu propósito?

Quais fontes de informação e/ou serviços são essenciais para cumprir esse
propósito identificado?

Quais são suas dependências?

Que riscos eles representam?

Avalie sua tecnologia.

Use os Controles CIS 1 e 2 para mapear o que você sabe sobre o negócio de acordo com a tecnologia que
você possui. (Nota: NÃO busque a perfeição.)

Quantas instâncias de uma determinada tecnologia eu tenho? Em

que condições eles estão?

Onde eles estão localizados?

Como eles são protegidos?

Quem é responsável por eles?

Quem pode acessá-los?

Registre-se em um webinar para saber como uma associação ao CIS SecureSuite pode ajudá-lo a
inventariar sua empresa e ativos de software

Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 10
 Alinhar a uma estrutura
Planeje a rota de um roteiro de segurança cibernética
VALOR EM RESUMO
Ao alinhar-se a uma estrutura de segurança,
você pode planejar sua jornada de
segurança cibernética para seguir uma rota
bem percorrida. Esta etapa é ainda mais
fácil quando você usa o Modelo de Defesa
da Comunidade CIS, o Navegador de
Controles CIS e a política de Controles CIS
modelos. Esses recursos ajudam você a
determinar quais controles CIS fazem
sentido para suas necessidades
individuais, mapeá-los para uma ou
mais estruturas de segurança e
formalizar sua implementação com as
respectivas políticas.
Como planejar um roteiro de segurança cibernética em quatro etapas
Introdução
Depois de ter uma ideia de onde está, você pode planejar a rota para onde deseja levar seu roteiro de segurança
cibernética. Uma estrutura de segurança é inestimável para este tipo de trabalho. Vamos esclarecer o que você
tem a ganhar com o alinhamento do seu roteiro de segurança cibernética a uma estrutura de segurança e como o
CIS pode ajudá-lo nesta fase.
CONSELHOS DE UM ESPECIALISTA
A vantagem de alinhar o roteiro de segurança cibernética do seu cliente ou do seu cliente a
uma estrutura de segurança é definir um caminho a seguir usando as melhores práticas de
segurança estabelecidas. Pense nisso como uma referência ao longo de sua jornada de
segurança cibernética. Eles tornam mais fácil chegar a um destino seguro.
Sean Atkinson
O valor de usar uma estrutura
Uma estrutura de segurança cibernética é um conjunto de práticas recomendadas na forma de diretrizes, padrões e
instruções projetadas para abordar estratégias de gerenciamento e mitigação de riscos implementadas como controles.
Só para que fique claro, uma estrutura é um roteiro bastante percorrido. Com base na sua construção, pode ser
simplesmente um guia ao longo do seu roteiro de segurança cibernética ou definir a rota a ser percorrida.
Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 11
Alguns exemplos comuns incluem o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) e a
Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST CSF). Nossas práticas
recomendadas de segurança mapeiam essas e muitas outras, como fica evidente na imagem abaixo.

Estruturas fornecidaseu
com mapeamento de controles CIS

• Diretoria Australiana de Sinais • FFIEC-CAT • NIST CSF

• Oito essenciais • Controles de segurança básicos FS 31 • NIST SP 800-53 R5
• Segurança do Azure da GSMA • NIST SP 800-171
• Referência v3 • HIPAA • PCI-DSS
• Metas de desempenho de segurança • ISACA COBITO 19 • SOC 2
cibernética (CPGs) da CISA • ISO 27001:2022 • Pipeline da Diretiva de Defesa de
• CMMC • ISO/IEC 27002:2022 Segurança da TSA
• Justiça Criminal • MITRE ATT&CK v8.2 • Fundamentos Cibernéticos do Reino Unido

• Serviços de Informação (CJIS) • NERC-CIP • Avaliação cibernética v3.1 do Centro Nacional de

• Controles de nuvem CSA • Manual de Segurança da Informação da Nova Segurança Cibernética do Reino Unido (NCSC)

• Matriz v4 Zelândia v3.5

• Perfil do Cyber Risk Institute (CRI) • Departamento de Serviços Financeiros

v1.2 do NYS 23 NYCRR Parte 500

IndústriaR y Quadroc obrigado Ref aprimorando os benchmarks do CIS

• STIG DISA • FFIEC • PCI-DSS

• FedRAMP • FISMA

Conclui-se que pode ser difícil não usar uma estrutura para planejar seu roteiro de segurança cibernética. O desafio de
fazer isso sem uma estrutura é duplo: primeiro, por onde começar; e dois, o que incluir. A vasta gama de controles de
segurança existentes é esmagadora, especialmente quando os requisitos de conformidade e as regulamentações de
privacidade também estão incluídos. Se a jornada for construir uma estrutura de controle baseada em riscos, focada na
segurança e em um subproduto do alinhamento de conformidade, o estresse de

Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 12
identificar um ponto de partida pode levar à paralisia da análise. Você deve começar com o que está ao seu alcance,
como uma política de senha, ou deve abordar a classificação de dados como um primeiro passo? Usar um roteiro para
herdar e absorver um conjunto de práticas em uma organização permite um melhor planejamento juntamente com uma
melhor integração de controles sucessivos. O aspecto do âmbito da inclusão também é difícil, uma vez que a gestão de
um programa de conformidade pode perder os respectivos elementos de um plano de segurança completo. A
capacidade de contextualizar o âmbito e os meios de criar impulso para um plano de controlo em si será um catalisador
para a melhoria e a maturidade.

Numa perspectiva inicial, um bom conjunto de controlos pode incluir um guia de implementação ou fornecer um DICA
documento de melhores práticas. Você pode aprender com outras pessoas e começar a compreender o apetite e a
Numa perspectiva inicial, um bom conjunto
tolerância dentro de uma organização para implementação de controle. O uso de estratégias que funcionaram para
de controlos pode incluir um guia de
outros permite que um líder em segurança desenvolva capacidades e também teste os rumos da adoção da segurança
implementação ou fornecer um documento
em uma organização. A simples aplicação de um controle não será suficiente se a organização não estiver alinhada com de melhores práticas. Você pode aprender
a prática. com outras pessoas e começar a
compreender o apetite e a tolerância
Várias organizações fornecem guias de implementação ou documentos de melhores práticas; outras dentro de uma organização para
organizações de apoio também contribuirão neste espaço. Do ponto de vista da inclusão, isso pode depender implementação de controle.

muito do contexto de uma determinada organização, mas geralmente, um conjunto de práticas recomendadas
de segurança do CIS ou do NIST fornece um plano abrangente que pode ser aplicado em vários setores e
empresas.

Sem uma estrutura de segurança, você acaba se privando de aprender e aplicar essa experiência
de grupo ao seu caso individual. Muitas outras organizações estão passando pelo mesmo
processo que você está passando. Usando o exemplo deles, você pode agilizar sua própria
jornada para evitar certos buracos e suavizar o que puder.

Tenha cuidado ao usar uma estrutura

Se você decidir alinhar seu roteiro de segurança cibernética a uma estrutura de segurança, é importante ter em
mente algumas considerações.

Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 13
A primeira é a aplicabilidade à missão da organização. A segurança cibernética é um risco comercial e deve ser
vista como tal em toda a organização. Com isto em mente, o gerenciamento dos controles de segurança é rico
em contexto. É um processo de gerenciamento de ameaças e mitigação de riscos ao aplicar as melhores práticas
e um nível de controle alcançável.

A advertência a esta afirmação anterior é “alcançável”. Deve ser contextualizado em relação ao risco que
uma organização enfrenta e ao nível de controle implementado para mitigar o risco. Se você conhece
seu oponente, terá mais chances de sucesso. Veja o ditado: “O acaso favorece a mente preparada”. Ter
uma compreensão do risco permite enfrentá-lo com níveis de controle alcançáveis. A ênfase está em
“alcançável”, pois este é um controle definido nas melhores práticas, mas que não é excessivamente
complexo para a organização se adaptar. Se você tem medo de comprometer a senha e aborda isso com
autenticação multifator (MFA), um padrão de senha complexo e uma alteração a cada 15 dias, por
exemplo, a viabilidade é reduzida. Mas se resolver o problema com MFA, pode ser suficiente para mitigar
o risco e também não adicionar camadas de complexidade a uma organização.

Simultaneamente, você precisa pensar em quanto controle é necessário para gerenciar um risco de forma DICA
adequada. Muito controle pode inibir os negócios. Isso pode levá-lo a uma situação em que você está lidando com
Simultaneamente, você precisa pensar em
um fenômeno chamado “Névoa de Mais”. Nessa situação, você acaba sobrecarregado por ferramentas e
quanto controle é necessário para
tecnologias de segurança e sua capacidade de gerenciar ameaças e mitigar riscos começa a ser prejudicada. Por gerenciar um risco de forma adequada.
outro lado, muito pouco controlo pode dar uma falsa sensação de segurança. É importante ter o equilíbrio certo.

A necessidade de estruturas de segurança robustas

Dados os desafios discutidos acima, é importante que você use uma estrutura robusta para planejar o
roteiro de segurança cibernética ou ajudar seus clientes a criar um roteiro que funcione para eles. Afinal,
nem todas as estruturas de segurança são criadas igualmente.

Especificamente, você pode consultar o Modelo de Defesa Comunitária (CDM) do CIS, o Navegador de Controles do CIS e
os modelos de política de Controles do CIS. Todos eles usam uma abordagem baseada em consenso e com foco
operacional que fornece controles acionáveis para as organizações seguirem.

Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 14
O MDL valida que as salvaguardas individuais do CIS no IG1 protegem contra pelo menos 75% das (sub)técnicas MITRE
ATT&CK associadas a malware, ransomware, hacking de aplicativos da web, uso indevido de informações privilegiadas e
de privilégios e invasões direcionadas. O CDM confirma, portanto, que você pode usar o IG1 e os controles CIS de forma
mais geral para reduzir sua exposição a ameaças comuns.

Salvaguardas IG1 CIS Todas as salvaguardas da CEI

Taxa de defesa Taxa de defesa

contra ATT&CK contra ATT&CK
5 principais ataques (Sub-)Técnicas (Sub-)Técnicas

Programas maliciosos 77% 94%

Ransomware 78% 92%
Hacking de aplicativos da Web 86% 98%
Uso indevido de informações privilegiadas e privilégios 86% 90%
Intrusões direcionadas 83% 95%
Todas as porcentagens são baseadas em (sub)técnicas ATT&CK atribuídas a uma mitigação ATT&CK.

Enquanto isso, o Controls Navigator ajuda você a visualizar como os controles CIS são mapeados para outras RECURSO
estruturas de segurança. Dessa forma, você pode usar os controles CIS para decidir a melhor forma de alinhar
O Controls Navigator ajuda a visualizar como
seu roteiro de segurança cibernética a uma estrutura, se não a várias estruturas. Isso ajudará você a
os controles CIS são mapeados para outras
economizar tempo e dinheiro, pois não precisará duplicar esforços para cumprir uma estrutura e depois outra. estruturas de segurança. Dessa forma, você
Você pode abordar as obrigações de conformidade correspondentes de uma só vez e, ao mesmo tempo, pode usar os controles CIS para decidir a
fortalecer sua postura ciberdefensiva contra ataques comuns. melhor forma de alinhar sua segurança
cibernética
Depois de decidir as estruturas às quais gostaria de alinhar seu roteiro, você poderá passar para os modelos roteiro para uma estrutura, se não
de política de controles do CIS. Esses recursos ajudam você a orientar você no processo de configuração de para várias estruturas.

políticas para diversas funções críticas de segurança associadas aos controles CIS, incluindo gerenciamento
empresarial, proteção de dados e treinamento de conscientização de segurança. Com esses modelos, você
pode formalizar o que realizou com os Controles até agora, para que possa desenvolver seus esforços no
futuro.

Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 15
Os modelos de política CIS Controls, CIS Controls Navigator, CDM e CIS Controls estão disponíveis gratuitamente
para usuários em todos os lugares. Mas há ainda mais que você pode fazer com os controles CIS por meio de uma
associação CIS SecureSuite. Ele vem com benefícios, ferramentas e recursos que você pode usar para priorizar e
acompanhar a implementação de nossas práticas recomendadas de segurança. Iremos nos aprofundar nesses
benefícios da associação na próxima seção.

Simplifique o uso de uma estrutura

Ao usar uma estrutura de segurança, você pode planejar a rota para seu roteiro de segurança cibernética de
acordo com orientações que outras pessoas definiram antes de você. No processo, você poderá fazer
progressos significativos quando chegar a hora de começar a implementar seu roteiro.

LISTA DE AFAZERES

Identifique uma estrutura (ou estruturas) de segurança que sejam aplicáveis ao que você está tentando
alcançar, ao seu setor, etc. Como parte deste processo, considere o seguinte:

Aplicabilidade à missão da sua organização

Atingibilidade com base no nível de risco enfrentado pela sua organização e no nível de controle
que você precisa implementar para lidar com esse risco.

Verifique se guias de implementação e/ou documentos de melhores práticas estão disponíveis para cada uma
dessas estruturas.

Use o CIS Controls Navigator e o CDM para agilizar o processo de alinhamento a uma ou mais estruturas e, ao
mesmo tempo, priorizar a defesa cibernética.

Confira esta página para saber como uma associação CIS SecureSuite pode ajudá-lo a usar os
controles CIS e recursos relacionados.

Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 16
 Pegue a estrada
Implemente seu roteiro de segurança cibernética

VALOR EM RESUMO Introdução

Para implementar o seu Agora é a hora de você estar pronto para pegar a estrada e colocar seu roteiro de segurança cibernética em
roteiro de segurança cibernética, você ação. Mas você pode ter dúvidas. Por onde você começa? Como você tira o máximo proveito desta fase de
precisa de um ponto de partida. implementação?
Associação CIS SecureSuite
Aqui, identificaremos uma meta que pode levar seu primeiro passo ao implementar seu roteiro de segurança cibernética. Em
fornece acesso ao CIS CSAT Pro, uma
seguida, identificaremos como você pode aproveitar esse progresso para avançar ainda mais com sua maturidade em
ferramenta que pode ajudá-lo a
segurança cibernética.
estabelecer uma base de higiene
cibernética essencial usando os
controles CIS. Ele também vem com Comece com a higiene cibernética essencial
acesso ao CIS-CAT Pro, que economiza
Ao tomar cuidado com o rumo que você está tomando ao pegar a estrada, você pode estabelecer uma base de crescimento
tempo e esforço ao avaliar
contínuo para seu roteiro de segurança cibernética. Você pode fazer isso começando com a higiene cibernética.
automaticamente as configurações
dos seus sistemas em relação às É fácil descartar a higiene cibernética como sem importância ou menos interessante. O mercado é barulhento e
recomendações de segurança dos “nebuloso”, com muitas reivindicações grandiosas e exageros. Mas todas as análises de ataques no mundo real chegam à
Benchmarks do CIS. Juntas, essas mesma conclusão: a maioria dos ataques e as condições que os permitem são variações de padrões de ataques bem
ferramentas simplificam seus recursos conhecidos. E etapas básicas e bem definidas impedirão, bloquearão ou limitarão a grande maioria dos ataques. Estas
de avaliação, auditoria e geração de medidas defensivas podem por vezes ser operacionalmente desafiantes e demoradas. Mas são problemas que
relatórios. Eles também ajudam você a normalmente não envelhecem bem e por isso você precisa começar.
avançar
Uma analogia com a saúde pública se aplica. Lavamos as mãos em determinados momentos do dia, NÃO porque
a última etapa da criação de um
sabemos com certeza que isso interrompe uma bactéria específica, mas porque é uma etapa comportamental
roteiro de segurança cibernética.
fundamental que pode bloquear os vetores de transmissão de uma grande classe de problemas. Nós nos envolvemos

Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 17
em outros comportamentos, como evitar pessoas doentes ou tossindo ou tomar vacinas, por motivos semelhantes.
Portanto, a higiene cibernética é vagamente equivalente – é o conjunto de coisas que representam os fundamentos da
defesa, que devem fazer parte do relatório para qualquer avaliação de segurança útil e que traduzem a ciência
complexa e confusa em comportamentos específicos e de alto valor.

Dito isto, sem uma definição específica, “higiene cibernética” é apenas um adesivo geralmente jogado fora com alguns
exemplos. Por exemplo, “Todos nós precisamos de uma melhor higiene cibernética, gerenciando privilégios
administrativos”.

No CIS, nos concentramos em definir a história da higiene cibernética por meio de Grupos de
Implementação. Uma definição torna-se a base para um plano, juntamente com uma forma de
começar a medir o progresso, comunicar com a gestão e comparar o progresso com outros.

É por isso que recomendamos a higiene cibernética essencial, conforme incorporada no Grupo de Implementação 1 (IG1)
dos Controles CIS. Nossa análise é clara: há um enorme valor de segurança em um conjunto de etapas fundamentais,
não importa quão arriscada ou complexa seja sua situação de negócios. Isto é evidente no MDL da CEI. Na verdade, ao
implementar as salvaguardas IG1, você pode se defender contra 77% das (sub)técnicas MITRE ATT&CK associadas às
principais variedades de ataque atuais. Isso inclui malware, ransomware, invasão de aplicativos da web, uso indevido de
informações privilegiadas e de privilégios, bem como invasões direcionadas.

Salvaguardas IG1 CIS Todas as salvaguardas da CEI

Taxa de defesa Taxa de defesa

contra ATT&CK contra ATT&CK
5 principais ataques (Sub-)Técnicas (Sub-)Técnicas

Programas maliciosos 77% 94%

Ransomware 78% 92%
Hacking de aplicativos da Web 86% 98%
Uso indevido de informações privilegiadas e privilégios 86% 90%
Intrusões direcionadas 83% 95%
Todas as porcentagens são baseadas em (sub)técnicas ATT&CK atribuídas a uma mitigação ATT&CK.

Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 18
Foco no gerenciamento de configuração segura

Ao percorrer o IG1 dos controles CIS, você descobrirá rapidamente a

necessidade de gerenciar as configurações seguras dos seus sistemas.
Afinal, o CIS Control 4 trata do gerenciamento das configurações seguras
de sua empresa e ativos de software. Mesmo assim, o gerenciamento
seguro de configuração não é exclusivo dos controles CIS. Uma prática
de segurança fundamental exigida em todas as estruturas de segurança
(incluindo os controles CIS) é gerenciar a configuração de segurança dos
componentes de TI.

O que é único é a forma como o CIS pode ajudá-lo a fortalecer a configuração

dos seus sistemas. Na CIS, chamamos esses guias de configuração de CIS
Benchmarks — e somos o maior produtor independente deste tipo de
orientação no mundo. Os Benchmarks do CIS fornecem uma base aprovada,
confiável e adotada pelo setor para o gerenciamento de componentes de TI.
Eles não fornecem apenas recomendações baseadas em consenso para
proteger seus sistemas. Eles também informam a importância, o benefício de
segurança e como você pode provar que implementou cada uma dessas
configurações seguras.

Para ilustrar, a figura à direita mostra a aparência de um requisito

de “idade máxima de senha” no CIS Microsoft Windows 10
Enterprise Benchmark v2.0.0.

Todos os Benchmarks do CIS são mapeados para os Controles do CIS —

incluindo IG1 — no nível de recomendação após seu lançamento. Isso
ajuda você a fortalecer seus sistemas de acordo com a higiene cibernética
essencial em seus ambientes.

Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 19
 CONSELHOS DE UM ESPECIALISTA

Uma “máquina” bem projetada de automação de TI e segurança é um componente

essencial dos relatórios de segurança e da conformidade. Deve produzir a maior parte

das evidências e dos dados necessários para demonstrar a eficácia do seu programa de

segurança ou do programa de segurança dos seus clientes a terceiros (por exemplo,

gestão, auditores, reguladores).

Tony Sager

Automatize seus esforços de endurecimento

Conforme discutimos na seção anterior, os benchmarks CIS (diretamente ou por meio de imagens em nuvem) são um
excelente ponto de partida — aceitos pelo setor com valor de segurança demonstrável. Mas também devem ser geridos
ativamente. Você precisa começar com um benchmark CIS como um padrão empresarial e modificá-lo conforme
necessário para desafios específicos. Por exemplo, talvez você precise executar aplicativos legados que exigem abertura
de portas específicas, obter aprovação do gerenciamento e, em seguida, implementá-los, medi-los e gerenciá-los
continuamente, identificando e corrigindo alterações não aprovadas, bem como gerando relatórios sobre o status. De
forma mais ampla, eles também se tornam parte de suas decisões de compra e desenvolvimento de software (Este
aplicativo será executado em meus sistemas protegidos?) E de suas políticas de TI.

Tudo isso estabelece a necessidade de um programa projetado de automação, geração de relatórios e correção. DICA
É por isso que a automação, baseada em padrões, tem sido um tema dos Controles CIS desde o seu início. Deve
Dada a dinâmica dos mundos de TI e de
produzir a maior parte das evidências e dos dados necessários para demonstrar a eficácia do seu programa de
negócios, devemos projetar nossas
segurança ou do programa de segurança dos seus clientes a terceiros (por exemplo, gestão, auditor, empresas para serem continuamente
reguladores). medidas, relatadas e adaptadas. O
objetivo é gastar a maior parte da nossa
Crescemos pensando em avaliação, auditoria e relatórios como “episódicos” ou “instantâneos” – algo que
atenção e recursos no trabalho
acontece como uma ocasião especial fora do trabalho real. Na verdade, dada a dinâmica dos mundos das TI e empresarial e menos em “provar que
dos negócios, deveríamos, em vez disso, conceber as nossas empresas para serem fizemos a coisa certa”.

Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 20
continuamente medido, reportado e adaptado. O objetivo é gastar a maior parte da nossa atenção e recursos no
trabalho empresarial e menos em “provar que fizemos a coisa certa”. Com esse espírito, projetamos o CIS
SecureSuite para fornecer aos membros acesso a recursos de automação. Veja a versão pro de nossa ferramenta
de avaliação de configuração (CIS-CAT Pro), como exemplo. O CIS-CAT Pro ajuda você a executar verificações
automatizadas das configurações do seu sistema em relação às recomendações de segurança dos Benchmarks do RECURSO
CIS, economizando tempo e dinheiro ao adotar uma política de configuração segura e implementá-la em seu
O CIS-CAT Pro ajuda você a executar
ambiente.
verificações automatizadas das

Além disso, projetamos o CIS SecureSuite para ajudar os membros a relatar e fazer as correções configurações do seu sistema em
relação às recomendações de
necessárias. Esse é o caso da versão pro da nossa ferramenta de autoavaliação de controles (CIS CSAT
segurança dos Benchmarks do CIS,
Pro). Ele foi projetado para ajudá-lo a rastrear e priorizar sua implementação do CIS Controls v7.1 ou economizando tempo e dinheiro ao
v8. Ao identificar suas capacidades e lacunas atuais, você pode usar essas informações para avaliar adotar uma política de configuração
quais salvaguardas você implementou, atribuir tarefas para novas tarefas de implementação e ajustar segura e implementá-la em seu

adequadamente à medida que avança pelos Grupos de Implementação do ambiente.

Controles CEI.

Ganhando terreno com seu roteiro de segurança cibernética

Implementar seu roteiro de segurança cibernética é uma jornada. Você não pode terminar tudo de uma vez. Ao
pegar a estrada e começar com a higiene cibernética essencial por meio dos controles do CIS, você pode
prosseguir para gerenciar as configurações seguras dos seus sistemas por meio dos Benchmarks do CIS. A partir
daí, você pode agilizar sua implementação usando CIS-CAT Pro, CIS CSAT Pro e outros recursos de uma associação
CIS SecureSuite.

Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 21
 LISTA DE AFAZERES

Estabeleça a higiene cibernética essencial em sua organização.

Percorra as Salvaguardas na Implementação do Grupo 1 (IG1) dos Controles CIS que

terão o maior impacto para sua organização.

Implemente benchmarks CIS para configurar com segurança os sistemas que você implantou. Inscreva-se

para obter uma associação CIS SecureSuite.

Refine sua implementação de nossas práticas recomendadas de segurança.

Use o CIS-CAT Pro para avaliar automaticamente as configurações dos seus sistemas em relação às
recomendações de segurança dos Benchmarks do CIS.

Aproveite o CIS CSAT Pro para priorizar, rastrear e evoluir seu programa para implementar os
controles CIS.

Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 22
 Revise, revise, repita
Faça um instantâneo do seu roteiro de segurança cibernética
VALOR EM RESUMO
Uma verdadeira jornada de segurança
cibernética nunca termina. Ao avaliar
seus resultados e iniciar o processo
novamente, você pode usar a associação
CIS SecureSuite para economizar ainda
mais tempo e esforço. Por exemplo, os
CIS Build Kits ajudam você a implementar
automaticamente as recomendações de
remediação dos CIS Benchmarks,
enquanto o CIS WorkBench serve como
um local centralizado a partir do qual
você pode baixar recursos para
membros, adaptar os Benchmarks às
suas necessidades individuais, bem
como colaborar com outros membros
e especialistas em segurança
cibernética.
Como planejar um roteiro de segurança cibernética em quatro etapas
Introdução
Você alcançou a última etapa do seu roteiro de segurança cibernética: revisar, revisar e repetir. É aqui que
você tira um instantâneo do seu roteiro de segurança cibernética. Neste ponto da sua viagem, você
alcançou uma atração para a qual estava viajando. Fazer isso mudou sua perspectiva, colocando você em
uma posição onde poderá examinar o que implementou, revisar e simplificar, e iniciar o processo
novamente para a próxima atração. Vamos discutir como você pode usar esta última etapa como um meio
de fortalecer continuamente sua postura de segurança cibernética.
Avaliação: a chave para contextualizar a implementação
Qualquer plano de controlo e qualquer avaliação de risco requerem curadoria não apenas no início da implementação,
mas ao longo de todo o ciclo de vida operacional. Auditoria, avaliação de ameaças, análise de lacunas e alterações na
infraestrutura da sua organização precisam ser integradas como parte de um programa robusto. É por isso que você
precisa reservar um tempo para avaliar seus esforços e medir o impacto.
Do contrário, você não poderá levar em conta a gama dinâmica de ameaças e riscos que você e/ou seus clientes
enfrentam. Na verdade, a consequência de “configure e esqueça” tem consequências terríveis, uma vez que a
falsa sensação de segurança é minada num ecossistema de descoberta e utilidade contínua de vulnerabilidades e
vetores de ameaças. Como dissemos no primeiro capítulo desta série, a segurança cibernética é uma jornada, não
um destino.
A avaliação desempenha outra função fundamental como parte do seu roteiro de segurança cibernética: também
leva à formação de um novo roteiro. Melhorias e avaliações exigirão a reengenharia de um
Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 23
programa de controles. As ameaças e os riscos mudam, e é necessária uma mudança contribuinte na infra-estrutura de DICA
controlo para reflectir essas mudanças.
Qualquer plano de controlo e qualquer

O mesmo pode ser dito da estratégia empresarial e de como o programa de segurança complementa o negócio. avaliação de risco requerem curadoria

O refinamento do roteiro reflete a melhoria contínua e a progressão através dos obstáculos ao longo da jornada não apenas no início da implementação,
mas ao longo de todo o ciclo de vida
do roteiro. Alguns podem ser planejados ao longo da jornada e alguns são surpresas. Ser ágil o suficiente para
operacional.
abordar cada um deles requer preparação e compreensão dos objetivos de redefinição do roteiro de segurança
cibernética. À medida que você considera novos obstáculos e requisitos, você pode revisar seu roteiro de
segurança cibernética para levá-lo em novas direções, aproveitando seu sucesso à medida que avança.

CONSELHOS DE UM ESPECIALISTA

Reduzir a resistência de um controle apenas o ajudará a se integrar mais plenamente e a ser

aceito pela sua organização e pelas respectivas partes interessadas. Se o acesso ao sistema se

tornar demasiado complicado ou o processo demasiado inibitório, os utilizadores dos

processos encontrarão formas alternativas de contornar os controlos.

Sean Atkinson

Simplifique seus processos de segurança cibernética onde você puder

Dado que a sua jornada de segurança cibernética está em constante evolução, você precisa encontrar áreas onde
possa agilizar seus esforços. Fazer isso economizará tempo, dinheiro e esforço. Você libera seus profissionais de
segurança de tarefas tediosas para que possam assumir tarefas mais importantes.

Naturalmente, isso também afeta sua postura de segurança cibernética. Reduzir a resistência de um controle apenas o ajudará
a se integrar mais plenamente e a ser aceito pela sua organização e pelas respectivas partes interessadas. Se o acesso ao
sistema se tornar demasiado complicado ou os processos demasiado inibidores, os utilizadores dos processos encontrarão
formas alternativas de contornar os controlos. Em essência, internamente você criou uma equipe vermelha

Como planejar um roteiro de segurança cibernética em quatro etapas Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 24
estratégia para assumir um controle bem definido, mas, em última análise, retroceder no roteiro. Se a sua
infraestrutura de controle for ignorada, você não terá controle. Perder visibilidade nos processos de controle
é uma área de manutenção de controle. O controle é eficaz, funciona conforme o esperado e é resistente
para lidar com o risco? Com esses elementos, você sabe que tem um bom controle. Se você estiver perdendo
a utilidade do controle e ele não for eficaz e contornado, o esforço e a mitigação de riscos serão perdidos.
Isso levará a maiores preocupações de segurança em termos de o método contornado se tornar um novo
risco. Assim, você tem um novo destino em sua jornada para resolver.

Por exemplo, o Wi-Fi corporativo mais seguro faz com que as pessoas mudem para Wi-Fi de convidado para
contornar restrições e controle, perdendo tempo na implementação, mas também identificando que o controle
não está integrado ao negócio. Se o Wi-Fi corporativo for ignorado com controle para exigir controle de acesso,
gerenciamento de dados e avaliação de postura, esses controles serão frustrados e ausentes se esses mesmos
dispositivos corporativos puderem usar uma rede menos segura. A energia e o tempo necessários para criar um
controle também são custos irrecuperáveis, pois faltam os requisitos de proteção e, neste caso, o custo da
segurança. A conscientização torna-se crítica tanto para o implementador do controle quanto para o usuário de
um sistema corporativo.

Pode ser difícil simplificar as coisas sozinho. Felizmente, o CIS está aqui para ajudar.

Nossa associação ao CIS SecureSuite inclui ferramentas, benefícios e recursos para ajudá-lo a implementar práticas RECURSO
recomendadas de segurança, como os controles CIS e os benchmarks CIS. Veja os kits de construção do CIS como
Disponíveis como objetos de política de
exemplo. Disponíveis como objetos de política de grupo (GPOs) para Windows e scripts de shell Bash para Linux, os
grupo (GPOs) para Windows e scripts de
kits de construção do CIS automatizam a seção “Remediação” do documento PDF de benchmarks do CIS. Essa shell Bash para Linux, os kits de construção
funcionalidade ajuda a automatizar a proteção de seus sistemas de acordo com a maioria das recomendações do do CIS automatizam a seção “Remediação”
CIS Benchmark, economizando assim esforço manual. do documento PDF de benchmarks do CIS.

CIS WorkBench é outro recurso de associação para agilizar seus esforços de segurança cibernética. Ele serve como
um hub central para colaboração e download de ferramentas e recursos de associação, incluindo versões XML,
Excel, OVAL e Word dos Benchmarks do CIS. Por meio do CIS WorkBench, você também pode personalizar as
configurações do CIS Benchmark para poder continuar sua jornada de segurança cibernética de acordo com seus
objetivos exclusivos.

Como planejar um roteiro de segurança cibernética em quatro etapas Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 25
Navegando em um destino em constante mudança

Já foi mencionado antes e vale a pena mencioná-lo novamente; a segurança cibernética é uma jornada, não um
destino. É importante ter em mente que a velocidade da mudança e a área de superfície de ataque cada vez
maior contribuem para a narrativa de melhoria contínua. Os adversários continuarão a atacar porque é do seu
interesse (hacktivismo, estado-nação, etc.) ou, em última análise, para alguns adversários (cibercriminosos), um
negócio muito lucrativo. Um ditado semelhante é que o atacante só precisa estar certo uma vez e o defensor
sempre certo para lidar com o risco e a vulnerabilidade cibernética.

Deixe o CIS SecureSuite guiá-lo em cada etapa do caminho, desde agora até muito longe, permitindo que você conduza
seu roteiro de segurança cibernética para casa.

LISTA DE AFAZERES

Inscreva-se para obter uma associação CIS SecureSuite.

Avalie até onde você chegou para ver onde pode otimizar seus esforços.
Use os kits de construção do CIS para automatizar a seção “Remediação” dos benchmarks do CIS. Acesse o

CIS WorkBench para baixar benefícios, ferramentas e recursos adicionais de associação.

Use onde você está agora para entender suas necessidades e objetivos atuais.

Repita o processo de criação, alinhamento, elaboração e revisão do seu roteiro de

segurança cibernética.

Como planejar um roteiro de segurança cibernética em quatro etapas Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 26
Conclusão

Existe um equilíbrio injusto entre os sistemas de defesa em comparação com a atividade adversária, o que nos leva ao
caminho da devida diligência e da prática de uma forte segurança cibernética. O CIS SecureSuite inclui benefícios,
ferramentas e recursos que podem ajudá-lo a equilibrar as probabilidades a favor da sua organização.

Que esta bênção irlandesa que revisamos guie seu roteiro e jornada de segurança cibernética
daqui para frente:

Que o caminho esteja aberto para o progresso.

Que a estrutura mostre o caminho.

Que os controles trabalhem em conjunto para defender nosso domínio seguro,

pois o risco fica aquém da exploração e o invasor falha novamente.

Como planejar um roteiro de segurança cibernética em quatro etapas Conclusão 27

sobre os autores
Sean Atkinson
Diretor de Segurança da Informação do CIS
Sean é Diretor de Segurança da Informação do CIS. Ele usa sua
ampla experiência em segurança cibernética para
estratégia, operações e políticas diretas para proteger a empresa de ativos
de informação do CIS. Suas responsabilidades profissionais incluem
gerenciamento de riscos, comunicações, aplicativos e infraestrutura. Antes
do CIS, Sean atuou como Diretor Global de Conformidade de Segurança da
Informação da GLOBALFOUNDRIES, atendendo Governança, Risco e
Conformidade (GRC) em todo o mundo.
Ele também liderou a implementação de segurança para o Sistema Financeiro
Estadual (SFS) do Estado de Nova York de 2007 a 2014 antes de sua função
como Gerente de Controle Interno, Risco e Segurança da Informação.
Além de seu trabalho no CIS, Sean também é professor adjunto
de Ciência da Computação no College of Saint Rose em Albany,
Nova York.
Como planejar um roteiro de segurança cibernética em quatro etapas
Tony Sager
Vice-presidente sênior do CIS e evangelista-chefe
Tony é voluntário em diversas atividades de
serviço comunitário cibernético e atua como
membro inaugural do Conselho de Revisão de Segurança Cibernética
do DHS/CISA, conselheiro do Minnesota Cyber Summit e membro de
conselhos consultivos de diversas escolas e faculdades locais. Ele
também é ex-membro do Fórum de Resiliência Cibernética da
Academia Nacional de Ciências e atua em vários grupos de estudo e
painéis consultivos em nível nacional.
Tony aposentou-se da Agência de Segurança Nacional em 2012, após 34
anos como matemático, cientista da computação e gerente executivo.
Como um dos primeiros analistas de vulnerabilidade de software da
Agência, ele ajudou a criar e liderar duas importantes organizações de
defesa cibernética da NSA (o Centro de Ataque de Sistemas e Redes e o
Grupo de Análise e Operações de Vulnerabilidade). Em 2001, Sager liderou
a divulgação das orientações de segurança da NSA ao público e expandiu o
papel da NSA no desenvolvimento de padrões abertos de segurança. Os
prêmios e elogios de Sager na NSA incluem o Prêmio de Classificação
Presidencial em Nível Meritório (duas vezes) e o Prêmio de Serviço Civil
Excepcional da NSA. Os grupos que ele liderou na NSA foram reconhecidos
pela excelência da missão dentro do governo e em toda a indústria, com
prêmios de diversas fontes, incluindo o SANS Institute, a SC Magazine e a
Government Executive Magazine.
sobre os autores 28
O Center for Internet Security, Inc. (CIS®) torna o mundo conectado um lugar mais seguro para
pessoas, empresas e governos por meio de nossas competências essenciais de colaboração e inovação.
Somos uma organização sem fins lucrativos voltada para a comunidade, responsável pelos CIS Critical
Security Controls® e CIS Benchmarks™, práticas recomendadas globalmente reconhecidas para
proteger sistemas e dados de TI. Lideramos uma comunidade global de profissionais de TI para
desenvolver continuamente esses padrões e fornecer produtos e serviços para proteção proativa
contra ameaças emergentes. Nossas CIS Hardened Images® fornecem ambientes de computação
seguros, sob demanda e escaláveis na nuvem.

O CIS abriga o Multi-State Information Sharing and Analysis Center® (MS-ISAC®), o recurso confiável para
prevenção, proteção, resposta e recuperação de ameaças cibernéticas para entidades governamentais estaduais,
locais, tribais e territoriais dos EUA, e o Elections Infrastructure Information Sharing and Analysis Center® (EI-
ISAC®), que oferece suporte às necessidades de segurança cibernética em rápida mudança dos escritórios
eleitorais dos EUA. Para saber mais, visite CISecurity.org ou siga-nos no Twitter: @CISecurity.

Para saber mais, visite www.cisecurity.org.

cisecurity.org @CISecurity
info@cisecurity.org TheCISsegurança

518-266-3460 segurança cibernética

Centro de segurança na Internet

Como planejar um roteiro de segurança cibernética em quatro etapas sobre os autores 29