CIS Controls v8 Framework de controles
18 controles, organizados por grupo, com resumo em português.
Conjunto priorizado de 18 controles de segurança para reduzir os riscos cibernéticos mais comuns. Prático e acionável; os Implementation Groups (IG1/IG2/IG3) correspondem aos nossos perfis Básico, Intermediário e Avançado.
Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.
Nomes e números dos 18 Controles são referências factuais; as descrições em português são da InfoCuestaSec (o detalhamento das 153 salvaguardas do CIS é protegido). Perfis didáticos.
cis CIS Controls v8 — 18 Controles
-
1
Inventário e controle de ativos corporativos (dispositivos que se conectam à rede). Manter uma lista sempre atualizada de todos os equipamentos que se conectam à rede (servidores, notebooks, celulares, IoT). Você não protege o que não sabe que existe — ativos desconhecidos são uma das principais portas de entrada de ataques.Básico
-
2
Inventário e controle de ativos de software (o que pode ou não ser executado). Saber quais softwares estão instalados e autorizados, bloqueando o resto. Programas não autorizados ou piratas costumam trazer vulnerabilidades e malware.Básico
-
3
Proteção de dados (identificar, classificar, reter, descartar e proteger dados). Identificar onde estão os dados importantes, classificá-los por sensibilidade e protegê-los em todo o ciclo de vida (uso, retenção e descarte). Evita vazamentos e ajuda a cumprir a LGPD.Básico
-
4
Configuração segura de ativos e software (baseline segura, endurecimento). Aplicar configurações seguras (baseline/endurecimento) em vez de deixar o padrão de fábrica. Configurações padrão são frequentemente inseguras e fáceis de explorar.Básico
-
5
Gestão de contas (ciclo de vida de credenciais e contas de usuário/serviço). Controlar todo o ciclo de vida das contas — criação, uso e desativação — inclusive as de administrador e de serviço. Contas esquecidas ou de ex-funcionários são muito usadas em invasões.Básico
-
6
Gestão de controle de acesso (conceder, revisar e revogar acesso; MFA). Dar a cada pessoa só o acesso de que precisa (menor privilégio) e exigir autenticação forte, como MFA. Reduz o estrago que uma conta comprometida pode causar.Básico
-
7
Gestão contínua de vulnerabilidades (identificar e corrigir/patch). Procurar continuamente falhas de segurança (vulnerabilidades) e corrigi-las rápido, com patches. Quanto mais tempo uma falha fica aberta, maior a chance de ser explorada.Básico
-
8
Gestão de logs de auditoria (coletar, proteger e revisar registros). Gerar, guardar com segurança e revisar os registros (logs) do que acontece nos sistemas. Sem logs, é impossível detectar um ataque ou investigar depois o que ocorreu.Intermediário
-
9
Proteções de e-mail e navegador web (reduzir a superfície de ataque). Reduzir os riscos que chegam por e-mail e navegador — principais portas de phishing e malware — com filtros e proteções. A maioria dos ataques começa por um clique.Intermediário
-
10
Defesas contra malware (antimalware, atualização e controle de execução). Impedir, detectar e remover programas maliciosos com ferramentas atualizadas em todos os dispositivos, incluindo controle de mídias removíveis.Básico
-
11
Recuperação de dados (backups protegidos e testados). Fazer backups protegidos e testados dos dados e sistemas críticos, para se recuperar de ransomware, falhas ou desastres. Backup que nunca foi testado pode não funcionar na hora H.Básico
-
12
Gestão da infraestrutura de rede (configuração segura de rede e equipamentos). Manter os equipamentos de rede (roteadores, switches, firewalls) bem configurados, atualizados e gerenciados. Rede mal configurada facilita o atacante se mover lateralmente.Intermediário
-
13
Monitoramento e defesa de rede (detecção e resposta a eventos na rede). Monitorar a rede em busca de atividade suspeita e ter como reagir. É a capacidade de perceber um ataque em andamento e contê-lo a tempo.Avançado
-
14
Conscientização e treinamento em segurança para o pessoal. Treinar e conscientizar as pessoas para reconhecerem golpes (phishing, engenharia social) e agirem com segurança. O elo humano é alvo frequente, e educação é a melhor defesa.Básico
-
15
Gestão de provedores de serviço (avaliar e monitorar terceiros). Avaliar e acompanhar a segurança dos fornecedores e prestadores que têm acesso aos seus dados ou sistemas. O risco de um terceiro se torna o seu risco.Intermediário
-
16
Segurança de software de aplicação (desenvolvimento e testes seguros). Desenvolver e manter aplicações de forma segura, com requisitos, revisão de código e testes de segurança. Falhas em aplicações web são exploradas o tempo todo.Avançado
-
17
Gestão de resposta a incidentes (plano, papéis e execução). Ter um plano e uma equipe prontos para responder a incidentes de forma rápida e organizada. Na hora do incidente, improviso custa caro.Intermediário
-
18
Testes de intrusão (pentest) para validar as defesas. Simular ataques reais (pentest) para achar e corrigir brechas antes que um criminoso as encontre. Valida na prática se as defesas realmente funcionam.Avançado