Center for Internet Security: Veja sobre segurança na Internet.

Uma internet  segura , envolve a proteção de sistemas, redes e dispositivos contra ameaças cibernéticas, como vírus, malware, phishing e ataques de hackers. Também é importante ter medidas de segurança em vigor para proteger os dados em trânsito e em repouso.

Atualmente, um formato prático de segurança que temos é o Center of Internet Security, popularmente conhecido como CIS. Irei abordar um pouco sobre O CIS, dando uma amplitude sobre o que é, e como adotar essa prática tem auxiliado empresas interessadas em promover a segurança na web.

O que é CIS?

Os  CIS Benchmarks  do Center of Internet Security (CIS) são um conjunto de práticas recomendadas mundialmente e orientadas por consenso para ajudar os profissionais de segurança a implementar e gerenciar defesas de segurança cibernética.

São elaborados por uma comunidade global de especialistas em segurança, as diretrizes ajudam as organizações a se proteger proativamente contra riscos. As empresas adotam as diretrizes do CIS Benchmark para limitar vulnerabilidades de segurança na configuração em seus ativos digitais.

Qual referência é utilizada pelo CIS para melhorar a segurança?

As referências do CIS são linhas de base de configuração e melhores práticas para configurar com segurança um sistema. Cada uma das recomendações de orientação refere-se a um ou mais controles do CIS que foram recebidos para ajudar as organizações a melhorar suas capacidades de ciberdefesa.

Os controles do CIS mapeiam para muitas normas e estruturas reguladoras protegidas, incluindo o NIST Cybersecurity Framework (CSF) e NIST SP 800-53, uma série de normas ISO 27000, PCI DSS, HIPAA, e outras.

Cada referência passa por duas fases de revisão de consenso. A primeira ocorre durante o desenvolvimento inicial, quando especialistas se reúnem para discutir, criar e testar rascunhos de trabalho até chegarem a um consenso sobre o referencial.

Durante uma segunda fase, após a publicação do benchmark, a equipe de consenso analisa o feedback da comunidade da Internet para incorporação ao benchmark.

Serviços de segurança fornecidos por Benchmarks do CIS

Os benchmarks do CIS fornecem dois níveis de configurações de segurança, que são:

O nível 1 recomenda requisitos básicos essenciais de segurança que podem ser configurados em qualquer sistema e devem causar pouca ou nenhuma interrupção de serviço, ou funcionalidade reduzida.

O nível 2 recomenda configurações de segurança para ambientes que satisfizeram maior segurança, o que poderia resultar em alguma funcionalidade reduzida.

Qual a importância de adotar CIS Benchmarks na sua empresa?

Ao implementar CIS Benchmarks, você pode proteger melhor seus sistemas herdados contra riscos comuns e possíveis seguindo etapas como:

  1. Desabilitar portas não utilizadas
  2. Removedor de permissões de aplicativos
  3. Limitar privilégios administrativos.

Podemos citar também, a melhor funcionalidade de sistemas e aplicativos de TI ao desabilitar serviços que não possuem necessidade.

Quais os benefícios que as empresas podem obter ao adotarem o CIS?

Diretrizes de especialistas em segurança cibernética

As CIS Benchmarks fornecem às organizações um quadro de configurações de segurança avaliadas e comprovadas por especialistas. As empresas podem evitar cenários de tentativa e erro que funcionam a segurança em risco, beneficiando-se da experiência de uma comunidade integrada de TI e segurança cibernética.

Padrões de segurança reconhecidos globalmente

Os CIS Benchmarks são os únicos guias de práticas recomendadas globalmente reconhecidas e aceitas por governos, empresas, instituições de pesquisa e acadêmicos. Graças à comunidade global que funciona segundo um modelo de tomada de decisão baseada em consenso, os CIS Benchmarks têm aplicabilidade e aceitabilidade muito mais amplas do que as leis e os padrões de segurança regionais.

Prevenção de ameaças com bom custo-benefício

A documentação de CIS Benchmark está disponível gratuitamente para qualquer pessoa baixar e implementar. Sua empresa pode obter instruções aprendidas e atualizadas para todos os tipos de sistemas de TI sem pagar nada por isso. Você pode atingir a governança de TI e evitar danos financeiros e à segurança causados por ameaças cibernéticas que podem ser evitadas.

Conformidade regulatória

As CIS Benchmarks estão localizadas aos principais frameworks de segurança e privacidade de dados, como:

  1. Framework de segurança cibernética do National Institute of Standards and Technology (NIST)
  2. Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)
  3. Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)

Para organizações que operam em setores altamente regulamentados, a implementação de CIS Benchmarks é um grande passo rumo à conformidade.

Elas podem evitar falhas de conformidade causadas por sistemas de TI mal configurados.

Algumas empresas conhecidas que usam CIS Benchmarks em suas ações de segurança:

  • Nuvem Alibaba
  • Amazon Web Services
  • Plataforma de computação em nuvem do Google
  • Google Workspace
  • IBM Cloud Foundations
  • Microsoft 365
  • Microsoft Azure
  • Microsoft Dynamics 365 Power Platform
  • Infraestrutura de Nuvem Oracle

Fonte:

O que são os CIS Benchmarks? (2023) – AWS

Utilizando o Cis Benchmark (Janeiro de 2020) – Gartner

Center for Internet Security (CIS) Benchmarks (Janeiro de 2023) – Microsoft

Como usar o CIS Benchmarks (2023) – Google Cloud

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Facebook Instagram Twitter