Escolar Documentos
Profissional Documentos
Cultura Documentos
com
Como planejar
uma Cibersegurança
Roteiro em
Quatro etapas
sobre os autores 28
Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 11
Introdução11
O valor de usar uma estrutura11
Tenha cuidado ao usar uma estrutura A 13
necessidade de estruturas de segurança 14
robustas simplifique o uso de uma estrutura16
As violações de dados acontecem quando tratamos a segurança cibernética como progresso. Afinal, nenhuma jornada de segurança cibernética é igual. O seu é
um destino. Se acreditarmos que a segurança está completa, isso pode levar a uma exclusivo para você. Se você tem clientes, a jornada de segurança cibernética
ilusão versus segurança na crença de que seus controles estão completos. A deles é exclusiva deles.
segurança nunca está completa, entretanto. Ao acreditar que sim, você pode ficar
Para ajudá-lo a planejar sua jornada, nós do Center for Internet Security (CIS)
vulnerável a uma violação, pois sua postura pode não estar necessariamente
criamos este guia. Seu objetivo é ajudá-lo a se preparar para sua jornada de
relacionada às ameaças que contornam os controles estáticos.
segurança cibernética, para que você possa evitar obstáculos comuns e desenvolver
sua maturidade em segurança cibernética da maneira mais tranquila possível. Ao
Isto é um problema, uma vez que os custos de uma violação de dados longo do guia, você aprenderá um processo de quatro etapas para planejar sua
continuam a aumentar ano após ano. Por exemplo, a IBM descobriu que a jornada de segurança cibernética. Você também receberá dicas sobre como mapear
violação média de dados custou US$ 4,35 milhões em 2022. Isso é 2,6% maior sua jornada de evolução na segurança cibernética de acordo com nossas práticas
que no ano anterior e 12,7% maior que o valor de 2020. A IBM também recomendadas de segurança e outros recursos.
observou que 83% das organizações sofreram mais de uma violação em 2022.
Em resposta aos custos de terem sofrido múltiplas violações, 60% dos
Como você descobrirá no próximo capítulo, tudo começa com a
entrevistados revelaram que aumentaram o preço dos seus serviços e ofertas.
conceituação de um roteiro de segurança cibernética.
também não é responsável pelos danos à reputação decorrentes de uma
violação de dados. De acordo com Varonis, em média 65% dos consumidores
perderam a confiança numa organização depois de esta ter sofrido uma
violação de dados. Uma tal queda nos negócios pode sobrecarregar ainda
mais a vítima da violação de dados, ameaçando a sua viabilidade a longo
prazo.
CONSELHOS DE UM ESPECIALISTA
Como planejar um roteiro de segurança cibernética em quatro etapas Por que sua organização precisa de um roteiro de segurança cibernética 2
Elaborando uma visão para suas necessidades de segurança cibernética
Um roteiro de segurança cibernética é uma avaliação da capacidade atual e uma análise de lacunas com uma visão de
curto a longo prazo para a integração de práticas de segurança. A necessidade de abordar a implementação futura, a
capacitação do controlo e um caminho a seguir é fundamental para fins organizacionais e de priorização. Se você não
planejar, então planejar o fracasso é a ênfase deste ponto. Observar o roteiro da jornada ajudará você a se alinhar aos
destinos de curto prazo para implementação de controle e estratégias de longo prazo para auxiliar na priorização. A
utilização deste método de avaliação e revisão conduzirá a eficiências na construção de um plano baseado no risco para
impedir lacunas a curto prazo e avaliações de maturidade a longo prazo num programa de segurança.
O roteiro deve delinear as tarefas anteriores ao longo do percurso, para que os controlos e a implementação DICA
complementem uma estratégia de segurança e gestão de riscos. Deve também dar uma perspectiva às partes
O próprio roteiro deve ser generalizado
interessadas sobre a abordagem adoptada para proteger uma organização e mitigar os riscos. O próprio roteiro
de forma a não ser excessivamente
deve ser generalizado de forma a não ser excessivamente prescritivo. Em essência, não deve afetar a capacidade prescritivo. Em essência, não deve afetar
de uma organização alterar o roteiro para enfrentar novos riscos ou ameaças recentemente identificadas. a capacidade de uma organização
alterar o roteiro para enfrentar novos
riscos ou ameaças recentemente
A capacidade de lidar com a agilidade é importante. Os itens priorizados devem ser suas primeiras paradas no roteiro, identificadas.
mas podem mudar, e muitas vezes, à luz das ameaças recém-identificadas. Por exemplo, você pode antecipar seus
planos de longo prazo para substituir um sistema de gerenciamento e controle de configuração após o surgimento de
uma nova vulnerabilidade, fazendo com que você coloque seus planos atuais em espera. Em última análise, você
precisa ter a capacidade de reconhecer um problema e abordá-lo como uma lacuna atual ou parte da jornada – mesmo
que inicialmente não o considere.
Como planejar um roteiro de segurança cibernética em quatro etapas Por que sua organização precisa de um roteiro de segurança cibernética 3
Quatro etapas principais para criar um roteiro de segurança cibernética que cresça com sua empresa
Seu roteiro de segurança cibernética será exclusivo para sua organização. Mesmo assim, há um conjunto de etapas que você pode usar
para criar um roteiro que atenda às suas necessidades específicas de segurança cibernética. Eles são os seguintes:
Audite seu ambiente Identifique uma referência Execute o plano que você Examinar o
para definir uma base ponto que você pode usar tem em vigor para roteiro de segurança cibernética
para onde você deseja para organizar e planejar sua alcançar o essencial você implementou,
ir. segurança cibernética higiene cibernética. revisar e simplificar,
esforços ao redor. e iniciar o
processar novamente.
Felizmente, existem recursos para ajudar. A associação ao CIS SecureSuite fornece o que você precisa para que sua RECURSO
organização siga essas etapas. Inclui vários benefícios, ferramentas e recursos para fortalecer sua postura de
A associação ao CIS SecureSuite
segurança cibernética e aumentar sua maturidade em segurança cibernética ao longo do tempo. Ao longo dos
fornece o que você precisa para que
próximos capítulos, mostraremos como você pode usar a associação CIS SecureSuite para criar um roteiro que sua organização siga essas etapas.
atenda às suas necessidades exclusivas. Inclui vários benefícios, ferramentas
e recursos para fortalecer sua
postura de segurança cibernética e
Olhe para o seu futuro em segurança cibernética aumentar seu
maturidade da segurança cibernética ao longo do tempo.
O roteiro é um esboço de uma jornada detalhada que só o tempo dirá se o mapeamento voltado para o futuro é preciso
ou deve ser alterado com base em estímulos externos ao programa de segurança cibernética. Felizmente, este roteiro é
seu e somente seu. Você pode ajustar e construir onde for necessário para que fique alinhado com o que você está
enfrentando e para onde gostaria de ir.
LISTA DE AFAZERES
Mergulhe em nossa discussão no podcast para saber mais sobre roteiros de segurança cibernética.
Como planejar um roteiro de segurança cibernética em quatro etapas Por que sua organização precisa de um roteiro de segurança cibernética 4
Conheça suas necessidades
Faça as malas para seu roteiro de segurança cibernética
As duas primeiras considerações acima são desafios e oportunidades de negócios “normais” que afetarão sua
segurança cibernética. Um bom programa de melhoria da segurança cibernética (a jornada) inclui o planejamento da
mudança. Para um fornecedor, uma boa definição e processo de verificação e gerenciamento de fornecedores significa
que você pode minimizar o custo e o risco de mudar de fornecedor. Para questões regulatórias, um bom programa
significa que você será capaz de se adaptar aos novos requisitos de relatórios com custo e complexidade mínimos. A
última — ameaças — significa que uma melhor compreensão permite adaptar ou alterar prioridades como parte
normal da gestão de riscos empresariais.
Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 5
Todas essas mudanças influenciam sua próxima parada ao longo de sua jornada. Mas todo roteiro precisa de um ponto
de partida. Na segurança cibernética, o melhor lugar para começar é conhecer suas necessidades. Abaixo, discutiremos o
que esta etapa envolve, quais desafios você pode enfrentar ao fazer as malas para a jornada que tem pela frente, como
você pode superá-los e como o CIS pode ajudá-lo.
Você não pode criar um roteiro de segurança cibernética e agir de acordo com ele, a menos que descubra primeiro
onde está. Em termos técnicos, referimo-nos frequentemente a uma “avaliação” como um bom ponto de partida. Mas
muitas avaliações podem ficar muito granulares rapidamente. A liderança empresarial muitas vezes não tem
experiência em TI, por isso pode ficar tentada a gastar muito tempo “contando o que pode ser contabilizado” – ativos
de TI, servidores, usuários, incidentes de segurança, etc. Eles devem ser claros quanto ao seu propósito comercial, às
principais dependências (como parceiros, fornecedores, pessoas) e como gerenciá-las. Este é apenas um negócio
básico.
• Quais fontes de informação e/ou serviços são essenciais para cumprir o propósito identificado do
seu negócio?
Muito disso requer a revelação de suposições implícitas ou tácitas. Muitos proprietários de empresas presumem que
compreendem seus riscos e dependências. Mas todos os incidentes de segurança nos dizem o contrário. Da mesma
forma, muitos assumem que são “demasiado pequenos para serem um alvo”; ransomware nos diz o contrário. Em
qualquer dia no ciberespaço, você é uma vítima, um ponto de partida no caminho para a vítima real ou um espectador
inocente. Nenhum de nós sabe realmente quem somos em um determinado dia, mas explorar suas suposições pode
começar a lhe dar uma ideia.
Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 6
Além disso, você pode achar necessário refinar adesivos vagos, como “Qualidade é a primeira tarefa” ou “Somos
voltados para o cliente”, em detalhes. A defesa cibernética é melhor vista como um programa de melhoria
contínua. Cada defensor tem um orçamento e um chefe, bem como restrições (como orçamento, pessoal e
ambiente regulatório). Assim, um programa bem sucedido terá algumas “vitórias” a curto prazo para estabelecer
credibilidade e impulso, bem como alguns passos fundamentais a longo prazo que poderão ser aproveitados mais
tarde. Levando ambos em consideração, você pode obter um contexto valioso que pode ser usado para navegar
pelas etapas a seguir.
CONSELHOS DE UM ESPECIALISTA
Não estamos buscando a perfeição. O que pretendemos fazer é chegar perto o suficiente para
tomar decisões razoáveis sobre riscos de negócios neste momento. Essas decisões sobre
riscos de negócios acabarão por mudar. Mas é como ter um roteiro de segurança cibernética
Depois de analisar e avaliar seu negócio, sua missão e suas dependências/riscos, você deve DICA
pegar esse conhecimento sólido e combiná-lo com um inventário da tecnologia que você
Depois de analisar e avaliar seu
possui.
negócio, sua missão e suas
Às vezes é mais fácil falar do que fazer. A maioria das organizações considera o inventário de tecnologia um dependências/riscos, você deve
pegar esse conhecimento sólido
desafio porque não possui o maquinário fundamental instalado para ver e gerenciar ativos. É mais do que um
e combiná-lo com um inventário
problema tecnológico, pois você também deve ter processos de negócios implementados para planejar, adquirir,
do que
fornecer e gerenciar tecnologia. Nem é um problema exclusivo de segurança. Trata-se de uma boa gestão de tecnologia que você tem.
ativos, semelhante ao que seria de esperar de ativos físicos.
Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 7
Esses tipos de perguntas podem vir à mente:
Os proprietários de empresas deveriam fazer o mesmo tipo de perguntas que fariam sobre qualquer ativo
físico ou financeiro. Temos a tendência de tratar as coisas de TI e cibernéticas como se houvesse magia ou
mistério envolvido. Por exemplo, seria inaceitável dizer que não sabemos muito sobre o nosso inventário de
produtos, onde estão, se foram testados ou não, e quem é responsável por eles, etc. de físico e “virtual”, mas
as mesmas questões se aplicam. Tenha em mente que desenvolver um inventário não é uma tarefa isenta de
falhas. O inventário de ativos de hardware e software é um processo e uma máquina, não um evento.
Portanto, você deve projetar a máquina para gerenciar essas informações de forma dinâmica. E você deseja
que as informações sejam geradas e fornecidas pela tecnologia. Uma área de transferência de ativos é um
ponto de partida se você não tiver mais nada, mas não é suficiente.
No geral, as pessoas tendem a ficar paralisadas quando percebem que nenhum inventário de hardware/software
é perfeito. Mas a perfeição não é uma meta alcançável. Os sistemas de TI e seu uso comercial são dinâmicos, para
não falar da habilidade dos invasores. O objetivo é ter visibilidade e controle de forma gerenciável. Os invasores
precisam viver e operar no mesmo ambiente dinâmico. Se as coisas nunca mudam, ou mudam sob controle, você
torna o trabalho do invasor muito mais complexo e arriscado para ele. Lembre-se que nem sequer temos um
inventário perfeito de espaço físico. Muitos programas de inventário ou medidas de segurança que exigem um
inventário sólido, como a lista de permissões de aplicativos e o gerenciamento de privilégios de administrador,
falharam – não por falta de tecnologia, mas por falta de “vontade de gerenciamento”.
Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 8
O que pretendemos fazer é chegar perto o suficiente para tomar decisões razoáveis sobre riscos de negócios neste
momento. Essas decisões sobre riscos de negócios acabarão por mudar. Mas é como ter um roteiro de segurança
cibernética em geral. Você precisa de um lugar para começar.
Se você tiver a motivação ou “vontade de gestão” necessária para desenvolver um inventário sólido, poderá
encontrar maquinário fundamental que o ajudará. Tomemos como exemplo os Controles CIS CIS. Os
controles CIS fornecem uma abordagem testada, verificada e transparente. Eles evitam a “mágica” da
segurança em favor de estabelecer as bases de uma boa visibilidade e gestão. Eles fazem isso desde o início
com o CIS Control 1: Inventory Control of Enterprise Assets e o CIS Control 2: Inventory and Control of
Software Assets. Essas medidas de segurança ajudam você a gerenciar ativamente seus ativos corporativos e
de software para saber o que precisa monitorar e proteger.
Dessa forma, você pode usar ambos os controles para identificar ativos não autorizados e não gerenciados e, assim, RECURSO
minimizar o risco de shadow IT.
Os controles CIS fornecem uma
Você pode implementar os Controles CIS 1 e 2 por conta própria. Alternativamente, você pode obter ainda mais abordagem testada, verificada e
suporte tornando-se um membro CIS SecureSuite. O CIS SecureSuite oferece acesso a ferramentas e recursos transparente. Eles evitam a “mágica” da
segurança em favor de estabelecer as
adicionais que você pode usar para priorizar a implementação dos Controles CIS 1 e 2 até o nível de salvaguardas
bases de uma boa visibilidade e gestão.
individuais. Dessa forma, você pode começar a monitorar suas ações para poder traçar o restante do seu roteiro
de segurança cibernética, ajustá-lo adequadamente e avançar nos esforços para atender aos requisitos de
conformidade complementares no processo.
Usando os Controles CIS 1 e 2, você pode criar um inventário e começar a pensar se a tecnologia que você está
usando está apoiando sua missão comercial e como ela pode estar contribuindo para seus riscos. Essa percepção
é crucial para preparar um roteiro de segurança cibernética que atenda às suas necessidades e situações
específicas.
Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 9
LISTA DE AFAZERES
Quais fontes de informação e/ou serviços são essenciais para cumprir esse
propósito identificado?
Registre-se em um webinar para saber como uma associação ao CIS SecureSuite pode ajudá-lo a
inventariar sua empresa e ativos de software
Como planejar um roteiro de segurança cibernética em quatro etapas Conheça suas necessidades: faça as malas para seu roteiro de segurança cibernética 10
Alinhar a uma estrutura
Planeje a rota de um roteiro de segurança cibernética
Uma estrutura de segurança cibernética é um conjunto de práticas recomendadas na forma de diretrizes, padrões e
instruções projetadas para abordar estratégias de gerenciamento e mitigação de riscos implementadas como controles.
Só para que fique claro, uma estrutura é um roteiro bastante percorrido. Com base na sua construção, pode ser
simplesmente um guia ao longo do seu roteiro de segurança cibernética ou definir a rota a ser percorrida.
Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 11
Alguns exemplos comuns incluem o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) e a
Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST CSF). Nossas práticas
recomendadas de segurança mapeiam essas e muitas outras, como fica evidente na imagem abaixo.
Estruturas fornecidaseu
com mapeamento de controles CIS
• Controles de nuvem CSA • Manual de Segurança da Informação da Nova Segurança Cibernética do Reino Unido (NCSC)
Conclui-se que pode ser difícil não usar uma estrutura para planejar seu roteiro de segurança cibernética. O desafio de
fazer isso sem uma estrutura é duplo: primeiro, por onde começar; e dois, o que incluir. A vasta gama de controles de
segurança existentes é esmagadora, especialmente quando os requisitos de conformidade e as regulamentações de
privacidade também estão incluídos. Se a jornada for construir uma estrutura de controle baseada em riscos, focada na
segurança e em um subproduto do alinhamento de conformidade, o estresse de
Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 12
identificar um ponto de partida pode levar à paralisia da análise. Você deve começar com o que está ao seu alcance,
como uma política de senha, ou deve abordar a classificação de dados como um primeiro passo? Usar um roteiro para
herdar e absorver um conjunto de práticas em uma organização permite um melhor planejamento juntamente com uma
melhor integração de controles sucessivos. O aspecto do âmbito da inclusão também é difícil, uma vez que a gestão de
um programa de conformidade pode perder os respectivos elementos de um plano de segurança completo. A
capacidade de contextualizar o âmbito e os meios de criar impulso para um plano de controlo em si será um catalisador
para a melhoria e a maturidade.
Numa perspectiva inicial, um bom conjunto de controlos pode incluir um guia de implementação ou fornecer um DICA
documento de melhores práticas. Você pode aprender com outras pessoas e começar a compreender o apetite e a
Numa perspectiva inicial, um bom conjunto
tolerância dentro de uma organização para implementação de controle. O uso de estratégias que funcionaram para
de controlos pode incluir um guia de
outros permite que um líder em segurança desenvolva capacidades e também teste os rumos da adoção da segurança
implementação ou fornecer um documento
em uma organização. A simples aplicação de um controle não será suficiente se a organização não estiver alinhada com de melhores práticas. Você pode aprender
a prática. com outras pessoas e começar a
compreender o apetite e a tolerância
Várias organizações fornecem guias de implementação ou documentos de melhores práticas; outras dentro de uma organização para
organizações de apoio também contribuirão neste espaço. Do ponto de vista da inclusão, isso pode depender implementação de controle.
muito do contexto de uma determinada organização, mas geralmente, um conjunto de práticas recomendadas
de segurança do CIS ou do NIST fornece um plano abrangente que pode ser aplicado em vários setores e
empresas.
Sem uma estrutura de segurança, você acaba se privando de aprender e aplicar essa experiência
de grupo ao seu caso individual. Muitas outras organizações estão passando pelo mesmo
processo que você está passando. Usando o exemplo deles, você pode agilizar sua própria
jornada para evitar certos buracos e suavizar o que puder.
Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 13
A primeira é a aplicabilidade à missão da organização. A segurança cibernética é um risco comercial e deve ser
vista como tal em toda a organização. Com isto em mente, o gerenciamento dos controles de segurança é rico
em contexto. É um processo de gerenciamento de ameaças e mitigação de riscos ao aplicar as melhores práticas
e um nível de controle alcançável.
A advertência a esta afirmação anterior é “alcançável”. Deve ser contextualizado em relação ao risco que
uma organização enfrenta e ao nível de controle implementado para mitigar o risco. Se você conhece
seu oponente, terá mais chances de sucesso. Veja o ditado: “O acaso favorece a mente preparada”. Ter
uma compreensão do risco permite enfrentá-lo com níveis de controle alcançáveis. A ênfase está em
“alcançável”, pois este é um controle definido nas melhores práticas, mas que não é excessivamente
complexo para a organização se adaptar. Se você tem medo de comprometer a senha e aborda isso com
autenticação multifator (MFA), um padrão de senha complexo e uma alteração a cada 15 dias, por
exemplo, a viabilidade é reduzida. Mas se resolver o problema com MFA, pode ser suficiente para mitigar
o risco e também não adicionar camadas de complexidade a uma organização.
Simultaneamente, você precisa pensar em quanto controle é necessário para gerenciar um risco de forma DICA
adequada. Muito controle pode inibir os negócios. Isso pode levá-lo a uma situação em que você está lidando com
Simultaneamente, você precisa pensar em
um fenômeno chamado “Névoa de Mais”. Nessa situação, você acaba sobrecarregado por ferramentas e
quanto controle é necessário para
tecnologias de segurança e sua capacidade de gerenciar ameaças e mitigar riscos começa a ser prejudicada. Por gerenciar um risco de forma adequada.
outro lado, muito pouco controlo pode dar uma falsa sensação de segurança. É importante ter o equilíbrio certo.
Dados os desafios discutidos acima, é importante que você use uma estrutura robusta para planejar o
roteiro de segurança cibernética ou ajudar seus clientes a criar um roteiro que funcione para eles. Afinal,
nem todas as estruturas de segurança são criadas igualmente.
Especificamente, você pode consultar o Modelo de Defesa Comunitária (CDM) do CIS, o Navegador de Controles do CIS e
os modelos de política de Controles do CIS. Todos eles usam uma abordagem baseada em consenso e com foco
operacional que fornece controles acionáveis para as organizações seguirem.
Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 14
O MDL valida que as salvaguardas individuais do CIS no IG1 protegem contra pelo menos 75% das (sub)técnicas MITRE
ATT&CK associadas a malware, ransomware, hacking de aplicativos da web, uso indevido de informações privilegiadas e
de privilégios e invasões direcionadas. O CDM confirma, portanto, que você pode usar o IG1 e os controles CIS de forma
mais geral para reduzir sua exposição a ameaças comuns.
Enquanto isso, o Controls Navigator ajuda você a visualizar como os controles CIS são mapeados para outras RECURSO
estruturas de segurança. Dessa forma, você pode usar os controles CIS para decidir a melhor forma de alinhar
O Controls Navigator ajuda a visualizar como
seu roteiro de segurança cibernética a uma estrutura, se não a várias estruturas. Isso ajudará você a
os controles CIS são mapeados para outras
economizar tempo e dinheiro, pois não precisará duplicar esforços para cumprir uma estrutura e depois outra. estruturas de segurança. Dessa forma, você
Você pode abordar as obrigações de conformidade correspondentes de uma só vez e, ao mesmo tempo, pode usar os controles CIS para decidir a
fortalecer sua postura ciberdefensiva contra ataques comuns. melhor forma de alinhar sua segurança
cibernética
Depois de decidir as estruturas às quais gostaria de alinhar seu roteiro, você poderá passar para os modelos roteiro para uma estrutura, se não
de política de controles do CIS. Esses recursos ajudam você a orientar você no processo de configuração de para várias estruturas.
políticas para diversas funções críticas de segurança associadas aos controles CIS, incluindo gerenciamento
empresarial, proteção de dados e treinamento de conscientização de segurança. Com esses modelos, você
pode formalizar o que realizou com os Controles até agora, para que possa desenvolver seus esforços no
futuro.
Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 15
Os modelos de política CIS Controls, CIS Controls Navigator, CDM e CIS Controls estão disponíveis gratuitamente
para usuários em todos os lugares. Mas há ainda mais que você pode fazer com os controles CIS por meio de uma
associação CIS SecureSuite. Ele vem com benefícios, ferramentas e recursos que você pode usar para priorizar e
acompanhar a implementação de nossas práticas recomendadas de segurança. Iremos nos aprofundar nesses
benefícios da associação na próxima seção.
Ao usar uma estrutura de segurança, você pode planejar a rota para seu roteiro de segurança cibernética de
acordo com orientações que outras pessoas definiram antes de você. No processo, você poderá fazer
progressos significativos quando chegar a hora de começar a implementar seu roteiro.
LISTA DE AFAZERES
Identifique uma estrutura (ou estruturas) de segurança que sejam aplicáveis ao que você está tentando
alcançar, ao seu setor, etc. Como parte deste processo, considere o seguinte:
Verifique se guias de implementação e/ou documentos de melhores práticas estão disponíveis para cada uma
dessas estruturas.
Use o CIS Controls Navigator e o CDM para agilizar o processo de alinhamento a uma ou mais estruturas e, ao
mesmo tempo, priorizar a defesa cibernética.
Confira esta página para saber como uma associação CIS SecureSuite pode ajudá-lo a usar os
controles CIS e recursos relacionados.
Como planejar um roteiro de segurança cibernética em quatro etapas Alinhe-se a uma estrutura: planeje a rota de um roteiro de segurança cibernética 16
Pegue a estrada
Implemente seu roteiro de segurança cibernética
Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 17
em outros comportamentos, como evitar pessoas doentes ou tossindo ou tomar vacinas, por motivos semelhantes.
Portanto, a higiene cibernética é vagamente equivalente – é o conjunto de coisas que representam os fundamentos da
defesa, que devem fazer parte do relatório para qualquer avaliação de segurança útil e que traduzem a ciência
complexa e confusa em comportamentos específicos e de alto valor.
Dito isto, sem uma definição específica, “higiene cibernética” é apenas um adesivo geralmente jogado fora com alguns
exemplos. Por exemplo, “Todos nós precisamos de uma melhor higiene cibernética, gerenciando privilégios
administrativos”.
No CIS, nos concentramos em definir a história da higiene cibernética por meio de Grupos de
Implementação. Uma definição torna-se a base para um plano, juntamente com uma forma de
começar a medir o progresso, comunicar com a gestão e comparar o progresso com outros.
É por isso que recomendamos a higiene cibernética essencial, conforme incorporada no Grupo de Implementação 1 (IG1)
dos Controles CIS. Nossa análise é clara: há um enorme valor de segurança em um conjunto de etapas fundamentais,
não importa quão arriscada ou complexa seja sua situação de negócios. Isto é evidente no MDL da CEI. Na verdade, ao
implementar as salvaguardas IG1, você pode se defender contra 77% das (sub)técnicas MITRE ATT&CK associadas às
principais variedades de ataque atuais. Isso inclui malware, ransomware, invasão de aplicativos da web, uso indevido de
informações privilegiadas e de privilégios, bem como invasões direcionadas.
Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 18
Foco no gerenciamento de configuração segura
Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 19
CONSELHOS DE UM ESPECIALISTA
das evidências e dos dados necessários para demonstrar a eficácia do seu programa de
Tony Sager
Conforme discutimos na seção anterior, os benchmarks CIS (diretamente ou por meio de imagens em nuvem) são um
excelente ponto de partida — aceitos pelo setor com valor de segurança demonstrável. Mas também devem ser geridos
ativamente. Você precisa começar com um benchmark CIS como um padrão empresarial e modificá-lo conforme
necessário para desafios específicos. Por exemplo, talvez você precise executar aplicativos legados que exigem abertura
de portas específicas, obter aprovação do gerenciamento e, em seguida, implementá-los, medi-los e gerenciá-los
continuamente, identificando e corrigindo alterações não aprovadas, bem como gerando relatórios sobre o status. De
forma mais ampla, eles também se tornam parte de suas decisões de compra e desenvolvimento de software (Este
aplicativo será executado em meus sistemas protegidos?) E de suas políticas de TI.
Tudo isso estabelece a necessidade de um programa projetado de automação, geração de relatórios e correção. DICA
É por isso que a automação, baseada em padrões, tem sido um tema dos Controles CIS desde o seu início. Deve
Dada a dinâmica dos mundos de TI e de
produzir a maior parte das evidências e dos dados necessários para demonstrar a eficácia do seu programa de
negócios, devemos projetar nossas
segurança ou do programa de segurança dos seus clientes a terceiros (por exemplo, gestão, auditor, empresas para serem continuamente
reguladores). medidas, relatadas e adaptadas. O
objetivo é gastar a maior parte da nossa
Crescemos pensando em avaliação, auditoria e relatórios como “episódicos” ou “instantâneos” – algo que
atenção e recursos no trabalho
acontece como uma ocasião especial fora do trabalho real. Na verdade, dada a dinâmica dos mundos das TI e empresarial e menos em “provar que
dos negócios, deveríamos, em vez disso, conceber as nossas empresas para serem fizemos a coisa certa”.
Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 20
continuamente medido, reportado e adaptado. O objetivo é gastar a maior parte da nossa atenção e recursos no
trabalho empresarial e menos em “provar que fizemos a coisa certa”. Com esse espírito, projetamos o CIS
SecureSuite para fornecer aos membros acesso a recursos de automação. Veja a versão pro de nossa ferramenta
de avaliação de configuração (CIS-CAT Pro), como exemplo. O CIS-CAT Pro ajuda você a executar verificações
automatizadas das configurações do seu sistema em relação às recomendações de segurança dos Benchmarks do RECURSO
CIS, economizando tempo e dinheiro ao adotar uma política de configuração segura e implementá-la em seu
O CIS-CAT Pro ajuda você a executar
ambiente.
verificações automatizadas das
Além disso, projetamos o CIS SecureSuite para ajudar os membros a relatar e fazer as correções configurações do seu sistema em
relação às recomendações de
necessárias. Esse é o caso da versão pro da nossa ferramenta de autoavaliação de controles (CIS CSAT
segurança dos Benchmarks do CIS,
Pro). Ele foi projetado para ajudá-lo a rastrear e priorizar sua implementação do CIS Controls v7.1 ou economizando tempo e dinheiro ao
v8. Ao identificar suas capacidades e lacunas atuais, você pode usar essas informações para avaliar adotar uma política de configuração
quais salvaguardas você implementou, atribuir tarefas para novas tarefas de implementação e ajustar segura e implementá-la em seu
Controles CEI.
Implementar seu roteiro de segurança cibernética é uma jornada. Você não pode terminar tudo de uma vez. Ao
pegar a estrada e começar com a higiene cibernética essencial por meio dos controles do CIS, você pode
prosseguir para gerenciar as configurações seguras dos seus sistemas por meio dos Benchmarks do CIS. A partir
daí, você pode agilizar sua implementação usando CIS-CAT Pro, CIS CSAT Pro e outros recursos de uma associação
CIS SecureSuite.
Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 21
LISTA DE AFAZERES
Implemente benchmarks CIS para configurar com segurança os sistemas que você implantou. Inscreva-se
Use o CIS-CAT Pro para avaliar automaticamente as configurações dos seus sistemas em relação às
recomendações de segurança dos Benchmarks do CIS.
Aproveite o CIS CSAT Pro para priorizar, rastrear e evoluir seu programa para implementar os
controles CIS.
Como planejar um roteiro de segurança cibernética em quatro etapas Pegue a estrada: implemente seu roteiro de segurança cibernética 22
Revise, revise, repita
Faça um instantâneo do seu roteiro de segurança cibernética
A avaliação desempenha outra função fundamental como parte do seu roteiro de segurança cibernética: também
leva à formação de um novo roteiro. Melhorias e avaliações exigirão a reengenharia de um
Como planejar um roteiro de segurança cibernética em quatro etapas Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 23
programa de controles. As ameaças e os riscos mudam, e é necessária uma mudança contribuinte na infra-estrutura de DICA
controlo para reflectir essas mudanças.
Qualquer plano de controlo e qualquer
O mesmo pode ser dito da estratégia empresarial e de como o programa de segurança complementa o negócio. avaliação de risco requerem curadoria
O refinamento do roteiro reflete a melhoria contínua e a progressão através dos obstáculos ao longo da jornada não apenas no início da implementação,
mas ao longo de todo o ciclo de vida
do roteiro. Alguns podem ser planejados ao longo da jornada e alguns são surpresas. Ser ágil o suficiente para
operacional.
abordar cada um deles requer preparação e compreensão dos objetivos de redefinição do roteiro de segurança
cibernética. À medida que você considera novos obstáculos e requisitos, você pode revisar seu roteiro de
segurança cibernética para levá-lo em novas direções, aproveitando seu sucesso à medida que avança.
CONSELHOS DE UM ESPECIALISTA
aceito pela sua organização e pelas respectivas partes interessadas. Se o acesso ao sistema se
Sean Atkinson
Dado que a sua jornada de segurança cibernética está em constante evolução, você precisa encontrar áreas onde
possa agilizar seus esforços. Fazer isso economizará tempo, dinheiro e esforço. Você libera seus profissionais de
segurança de tarefas tediosas para que possam assumir tarefas mais importantes.
Naturalmente, isso também afeta sua postura de segurança cibernética. Reduzir a resistência de um controle apenas o ajudará
a se integrar mais plenamente e a ser aceito pela sua organização e pelas respectivas partes interessadas. Se o acesso ao
sistema se tornar demasiado complicado ou os processos demasiado inibidores, os utilizadores dos processos encontrarão
formas alternativas de contornar os controlos. Em essência, internamente você criou uma equipe vermelha
Como planejar um roteiro de segurança cibernética em quatro etapas Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 24
estratégia para assumir um controle bem definido, mas, em última análise, retroceder no roteiro. Se a sua
infraestrutura de controle for ignorada, você não terá controle. Perder visibilidade nos processos de controle
é uma área de manutenção de controle. O controle é eficaz, funciona conforme o esperado e é resistente
para lidar com o risco? Com esses elementos, você sabe que tem um bom controle. Se você estiver perdendo
a utilidade do controle e ele não for eficaz e contornado, o esforço e a mitigação de riscos serão perdidos.
Isso levará a maiores preocupações de segurança em termos de o método contornado se tornar um novo
risco. Assim, você tem um novo destino em sua jornada para resolver.
Por exemplo, o Wi-Fi corporativo mais seguro faz com que as pessoas mudem para Wi-Fi de convidado para
contornar restrições e controle, perdendo tempo na implementação, mas também identificando que o controle
não está integrado ao negócio. Se o Wi-Fi corporativo for ignorado com controle para exigir controle de acesso,
gerenciamento de dados e avaliação de postura, esses controles serão frustrados e ausentes se esses mesmos
dispositivos corporativos puderem usar uma rede menos segura. A energia e o tempo necessários para criar um
controle também são custos irrecuperáveis, pois faltam os requisitos de proteção e, neste caso, o custo da
segurança. A conscientização torna-se crítica tanto para o implementador do controle quanto para o usuário de
um sistema corporativo.
Pode ser difícil simplificar as coisas sozinho. Felizmente, o CIS está aqui para ajudar.
Nossa associação ao CIS SecureSuite inclui ferramentas, benefícios e recursos para ajudá-lo a implementar práticas RECURSO
recomendadas de segurança, como os controles CIS e os benchmarks CIS. Veja os kits de construção do CIS como
Disponíveis como objetos de política de
exemplo. Disponíveis como objetos de política de grupo (GPOs) para Windows e scripts de shell Bash para Linux, os
grupo (GPOs) para Windows e scripts de
kits de construção do CIS automatizam a seção “Remediação” do documento PDF de benchmarks do CIS. Essa shell Bash para Linux, os kits de construção
funcionalidade ajuda a automatizar a proteção de seus sistemas de acordo com a maioria das recomendações do do CIS automatizam a seção “Remediação”
CIS Benchmark, economizando assim esforço manual. do documento PDF de benchmarks do CIS.
CIS WorkBench é outro recurso de associação para agilizar seus esforços de segurança cibernética. Ele serve como
um hub central para colaboração e download de ferramentas e recursos de associação, incluindo versões XML,
Excel, OVAL e Word dos Benchmarks do CIS. Por meio do CIS WorkBench, você também pode personalizar as
configurações do CIS Benchmark para poder continuar sua jornada de segurança cibernética de acordo com seus
objetivos exclusivos.
Como planejar um roteiro de segurança cibernética em quatro etapas Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 25
Navegando em um destino em constante mudança
Já foi mencionado antes e vale a pena mencioná-lo novamente; a segurança cibernética é uma jornada, não um
destino. É importante ter em mente que a velocidade da mudança e a área de superfície de ataque cada vez
maior contribuem para a narrativa de melhoria contínua. Os adversários continuarão a atacar porque é do seu
interesse (hacktivismo, estado-nação, etc.) ou, em última análise, para alguns adversários (cibercriminosos), um
negócio muito lucrativo. Um ditado semelhante é que o atacante só precisa estar certo uma vez e o defensor
sempre certo para lidar com o risco e a vulnerabilidade cibernética.
Deixe o CIS SecureSuite guiá-lo em cada etapa do caminho, desde agora até muito longe, permitindo que você conduza
seu roteiro de segurança cibernética para casa.
LISTA DE AFAZERES
Avalie até onde você chegou para ver onde pode otimizar seus esforços.
Use os kits de construção do CIS para automatizar a seção “Remediação” dos benchmarks do CIS. Acesse o
Use onde você está agora para entender suas necessidades e objetivos atuais.
Como planejar um roteiro de segurança cibernética em quatro etapas Revise, revise, repita: tire uma foto do seu roteiro de segurança cibernética 26
Conclusão
Existe um equilíbrio injusto entre os sistemas de defesa em comparação com a atividade adversária, o que nos leva ao
caminho da devida diligência e da prática de uma forte segurança cibernética. O CIS SecureSuite inclui benefícios,
ferramentas e recursos que podem ajudá-lo a equilibrar as probabilidades a favor da sua organização.
Que esta bênção irlandesa que revisamos guie seu roteiro e jornada de segurança cibernética
daqui para frente:
Sean é Diretor de Segurança da Informação do CIS. Ele usa sua Tony é voluntário em diversas atividades de
ampla experiência em segurança cibernética para serviço comunitário cibernético e atua como
estratégia, operações e políticas diretas para proteger a empresa de ativos membro inaugural do Conselho de Revisão de Segurança Cibernética
de informação do CIS. Suas responsabilidades profissionais incluem do DHS/CISA, conselheiro do Minnesota Cyber Summit e membro de
gerenciamento de riscos, comunicações, aplicativos e infraestrutura. Antes conselhos consultivos de diversas escolas e faculdades locais. Ele
do CIS, Sean atuou como Diretor Global de Conformidade de Segurança da também é ex-membro do Fórum de Resiliência Cibernética da
Informação da GLOBALFOUNDRIES, atendendo Governança, Risco e Academia Nacional de Ciências e atua em vários grupos de estudo e
Conformidade (GRC) em todo o mundo. painéis consultivos em nível nacional.
Ele também liderou a implementação de segurança para o Sistema Financeiro
Tony aposentou-se da Agência de Segurança Nacional em 2012, após 34
Estadual (SFS) do Estado de Nova York de 2007 a 2014 antes de sua função
anos como matemático, cientista da computação e gerente executivo.
como Gerente de Controle Interno, Risco e Segurança da Informação.
Como um dos primeiros analistas de vulnerabilidade de software da
Além de seu trabalho no CIS, Sean também é professor adjunto Agência, ele ajudou a criar e liderar duas importantes organizações de
de Ciência da Computação no College of Saint Rose em Albany, defesa cibernética da NSA (o Centro de Ataque de Sistemas e Redes e o
Nova York. Grupo de Análise e Operações de Vulnerabilidade). Em 2001, Sager liderou
a divulgação das orientações de segurança da NSA ao público e expandiu o
papel da NSA no desenvolvimento de padrões abertos de segurança. Os
prêmios e elogios de Sager na NSA incluem o Prêmio de Classificação
Presidencial em Nível Meritório (duas vezes) e o Prêmio de Serviço Civil
Excepcional da NSA. Os grupos que ele liderou na NSA foram reconhecidos
pela excelência da missão dentro do governo e em toda a indústria, com
prêmios de diversas fontes, incluindo o SANS Institute, a SC Magazine e a
Government Executive Magazine.
O CIS abriga o Multi-State Information Sharing and Analysis Center® (MS-ISAC®), o recurso confiável para
prevenção, proteção, resposta e recuperação de ameaças cibernéticas para entidades governamentais estaduais,
locais, tribais e territoriais dos EUA, e o Elections Infrastructure Information Sharing and Analysis Center® (EI-
ISAC®), que oferece suporte às necessidades de segurança cibernética em rápida mudança dos escritórios
eleitorais dos EUA. Para saber mais, visite CISecurity.org ou siga-nos no Twitter: @CISecurity.
cisecurity.org @CISecurity
info@cisecurity.org TheCISsegurança