Controles CIS: Uma estrutura prática de segurança para equipes de TI e MSPs

De acordo com o Relatório Kaseya sobre a Situação dos MSPs de 2026, 71% dos MSPs relataram um crescimento da receita ano a ano na área de segurança cibernética, mas quase metade cita a complexidade dos produtos de segurança como o principal obstáculo ao crescimento.

Quando as organizações perguntam “por onde começamos com a segurança cibernética?”, a resposta raramente é simples. Existem dezenas de estruturas, centenas de documentos de orientação e uma variedade avassaladora de controles de segurança a serem considerados. Os Controles CIS simplificam essa complexidade com uma resposta deliberadamente prática: eis as 18 medidas de segurança mais importantes, em ordem de prioridade, com orientações específicas de implementação para organizações de diferentes tamanhos.

Essa priorização é o que distingue os Controles CIS. Em vez de um catálogo abrangente de tudo o que uma organização deveria fazer, os Controles concentram-se nas ações fundamentais que abordam os vetores de ataque mais comuns e proporcionam a maior redução de risco por unidade de esforço.

O que são os Controles CIS?

Os Controles CIS são um conjunto priorizado de melhores práticas de segurança cibernética desenvolvido e mantido pelo Center for Internet Security, uma organização sem fins lucrativos. Lançados originalmente como o “SANS Top 20” e posteriormente adotados e aperfeiçoados pelo CIS, os Controles representam um consenso sobre as medidas defensivas mais eficazes contra os ataques mais comuns.

Essa estrutura é amplamente citada por órgãos reguladores e normas de conformidade. O NIST, a HIPAA, o PCI DSS e muitas regulamentações estaduais de segurança cibernética fazem referência ou se alinham aos Controles CIS. Para organizações sujeitas a múltiplos requisitos de conformidade, a implementação dos Controles CIS geralmente oferece uma cobertura significativa em várias estruturas simultaneamente.

Os controles são de uso gratuito e estão disponíveis ao público, com documentação de apoio que inclui orientações de implementação, mapeamentos para outras estruturas e padrões de referência para tecnologias específicas. Os padrões de referência do CIS fornecem orientações de fortificação para sistemas operacionais, aplicativos e serviços em nuvem.

CIS Controls v8.1: A estrutura atual

O CIS Controls v8.1 é a versão atual da estrutura. A v8 foi lançada em 2021 como a evolução mais significativa dos últimos anos, e a v8.1 refinou e atualizou os detalhes das medidas de proteção. Principais alterações em relação à v7:

Foco na nuvem e nos dispositivos móveis. A versão 8 foi redesenhada para atender à realidade de que os ambientes de TI agora abrangem infraestrutura local, serviços em nuvem, dispositivos móveis e trabalho remoto, e não apenas o perímetro corporativo tradicional.

O número de controles foi reduzido de 20 para 18. Vários controles que se sobrepunham foram unificados, e a estrutura foi reorganizada em torno de três Grupos de Implementação (IG1, IG2 e IG3), permitindo que as organizações adaptem a estrutura de forma adequada ao seu tamanho e perfil de risco.

Modelo de medidas de proteção. A versão 8 introduziu as “Medidas de proteção” como ações específicas dentro de cada Controle, substituindo a terminologia anterior de “Sub-Controles”. A versão 8.1 dos Controles CIS contém 153 Medidas de proteção distribuídas pelos 18 Controles.

Grupos de implementação: adaptando os controles à sua organização

Uma das características mais úteis do CIS Controls é o modelo de Grupos de Implementação, que permite às organizações adaptar a estrutura ao seu tamanho, recursos e perfil de risco, em vez de tratar as 153 medidas de segurança como uma lista indiferenciada.

IG1, Higiene Cibernética Essencial (56 medidas de proteção): Concebido para pequenas organizações com equipe limitada de TI e segurança cibernética. O IG1 representa a base que toda organização deve atingir, independentemente do tamanho, com controles que abordam os ataques mais comuns e de baixa sofisticação que afetam a esmagadora maioria das organizações. Mesmo que uma organização não tome nenhuma outra medida, o cumprimento do IG1 melhora substancialmente sua postura de segurança.

IG2 (130 medidas de proteção, incluindo todas as do IG1): Adequado para organizações que gerenciam dados confidenciais e contam com uma equipe dedicada de TI e segurança. O IG2 acrescenta 74 medidas de proteção adicionais para ameaças mais sofisticadas, requisitos de conformidade e ambientes mais complexos. Algumas medidas de proteção neste nível exigem tecnologia de nível empresarial e conhecimento especializado.

IG3 (todas as 153 medidas de segurança, incluindo IG1 e IG2): Adequado para grandes organizações ou aquelas com equipes de segurança experientes que gerenciam ativos de alto valor ou infraestrutura crítica. O IG3 acrescenta 23 medidas de segurança voltadas para ameaças avançadas e requer conhecimentos especializados em segurança para ser implementado na íntegra.

Para a maioria das pequenas e médias empresas (PMEs) e dos clientes atendidos pelos MSPs, os níveis IG1 e IG2 são os alvos relevantes. A conformidade total com o IG1 aborda a esmagadora maioria dos vetores de ataque reais que as PMEs enfrentam.

Compliance Manager GRC inclui modelos separados para cada Grupo de Implementação, carregando automaticamente as salvaguardas específicas exigidas para o nível selecionado.

Os 18 controles do CIS

Controle 1: Inventário e controle dos ativos da empresa. Conheça todos os dispositivos do ambiente. Não é possível proteger o que não se conhece.

Controle 2: Inventário e controle de ativos de software. Monitore todo o software e permita apenas a execução de software autorizado. O software não autorizado é um dos principais pontos de entrada para malware.

Controle 3: Proteção de dados. Desenvolver processos e controles técnicos para identificar, classificar, proteger, conservar e eliminar dados. Inclui criptografia e prevenção contra perda de dados.

Controle 4: Configuração segura de ativos e softwares corporativos. Estabelecer e manter configurações seguras para todo o hardware e software. As configurações padrão costumam ser inseguras.

Controle 5: Gerenciamento de contas. Utilizar processos e ferramentas para atribuir e gerenciar credenciais de todas as contas, incluindo contas de administrador, de serviço e de aplicativos, seguindo os princípios do privilégio mínimo.

Controle 6: Gestão do controle de acesso. Crie e gerencie credenciais de acesso com base nos princípios de “necessidade de saber” e “necessidade de usar”. Abrange a aplicação da autenticação multifatorial (MFA), a gestão de privilégios e as revisões de acesso.

Controle 7: Gestão contínua de vulnerabilidades. Adquira, avalie e tome medidas continuamente com base em novas informações sobre ameaças e vulnerabilidades, a fim de identificar, corrigir e minimizar a janela de oportunidade para os invasores.

Controle 8: Gerenciamento de registros de auditoria. Coletar, alertar, revisar e manter registros de auditoria para auxiliar na detecção de incidentes e na análise forense pós-incidente.

Controle 9: Proteções para e-mail e navegadores da Web. Melhore as proteções contra ameaças transmitidas por e-mail e navegadores da Web, os dois vetores de acesso inicial mais comuns.

Controle 10: Defesas contra malware. Utilize ferramentas automatizadas para impedir ou controlar a instalação e a execução de código malicioso no terminal.

Controle 11: Recuperação de dados. Estabelecer e manter práticas de recuperação de dados suficientes para restaurar os dados abrangidos ao estado anterior ao incidente, dentro das metas definidas de RTO e RPO.

Controle 12: Gerenciamento da infraestrutura de rede. Estabelecer, implementar e gerenciar a infraestrutura de rede para impedir que invasores explorem serviços e configurações de rede vulneráveis.

Controle 13: Monitoramento e defesa da rede. Monitorar a rede em busca de atividades anômalas ou maliciosas e implementar mecanismos para detectar e responder a essas atividades.

Controle 14: Conscientização sobre segurança e treinamento de habilidades. Estabelecer e manter um programa de conscientização sobre segurança que aborde o fator de risco humano por meio de treinamento e simulações de phishing.

Controle 15: Gestão de prestadores de serviços. Desenvolver um processo para avaliar e gerenciar prestadores de serviços (incluindo MSPs) com base no risco que representam para os dados e sistemas da organização.

Controle 16: Segurança de software aplicativo. Gerenciar o ciclo de vida da segurança de softwares desenvolvidos internamente, hospedados ou adquiridos, a fim de prevenir, detectar e corrigir vulnerabilidades de segurança.

Controle 17: Gestão da resposta a incidentes. Estabelecer um programa para desenvolver e manter a capacidade de resposta a incidentes, incluindo manuais de procedimentos definidos e procedimentos testados.

Controle 18: Testes de penetração. Teste a eficácia das defesas por meio de ataques simulados controlados para identificar vulnerabilidades exploráveis antes que os invasores o façam.

Controles CIS e outras estruturas

Os Controles CIS não existem isoladamente. Eles se alinham diretamente a outras estruturas que as organizações precisam cumprir, o que constitui uma das principais razões pelas quais vale a pena investir na implementação dos Controles CIS, mesmo para organizações que não são especificamente obrigadas a segui-los.

NIST CSF: Os Controles CIS correspondem amplamente às funções do NIST CSF (Identificar, Proteger, Detectar, Responder, Recuperar). As organizações que utilizam o NIST CSF consideram que os Controles CIS fornecem os detalhes de nível de implementação necessários para as funções mais abstratas do CSF.

PCI DSS: Os controles 1 a 7 e 10 a 12 estão em estreita conformidade com os requisitos do PCI DSS. A implementação dos controles CIS reduz significativamente o esforço de preparação para a auditoria do PCI DSS.

HIPAA: Os Controles CIS abordam muitos dos requisitos de proteção administrativa, física e técnica da Regra de Segurança da HIPAA.

ISO 27001: Existe um alinhamento significativo entre os controles CIS e os controles do Anexo A da ISO 27001. As organizações que buscam a certificação ISO 27001 se beneficiam da implementação dos controles CIS já existentes como prova da maturidade dos controles.

Essa abrangência entre diferentes estruturas é o motivo pelo qual os Controles CIS constituem um ponto de partida prático para a maioria das organizações: a implementação dos Controles gera evidências de conformidade em várias estruturas simultaneamente, reduzindo a carga administrativa de gerenciar cada estrutura de forma independente.

Implementação dos controles CIS com a Kaseya

A plataforma Kaseya oferece suporte técnico direto para a implementação da maioria dos controles CIS em ambientes gerenciados:

Controles 1 e 2 (Inventário de ativos): A detecção automatizada de dispositivos e o inventário de software do VSA criam e mantêm os registros de ativos exigidos pelos Controles 1 e 2. IT Glue a camada de documentação para o rastreamento de ativos e os registros de configuração.

Controles 4 e 5 (Configuração segura, Gerenciamento de contas): O gerenciamento de configuração baseado em políticas do VSA garante o cumprimento das normas de configuração segura em todos os terminais gerenciados. Kaseya 365 oferece suporte à imposição da autenticação multifatorial (MFA) e ao gerenciamento de acesso privilegiado.

Controle 7 (Gerenciamento de vulnerabilidades): A verificação de vulnerabilidades e o gerenciamento automatizado de patches da Kaseya atendem diretamente à necessidade de gerenciamento contínuo de vulnerabilidades.

Controles 9 e 10 (Proteção de e-mail e navegador, Defesas contra malware): O Inky (segurança de e-mail) e o Datto EDR são responsáveis pelos controles de segurança de e-mail, navegador e defesa contra malware.

Controle 11 (Recuperação de Dados): O Datto BCDR oferece os recursos de backup e recuperação exigidos pelo Controle 11, com verificação automatizada e armazenamento imutável na nuvem.

Controle 14 (Conscientização sobre segurança): BullPhish ID oferece treinamento em conscientização sobre segurança e simulação de phishing.

Controle 17 (Resposta a Incidentes): O serviço MDR da Kaseya oferece monitoramento 24 horas por dia, 7 dias por semana, e capacidade de resposta, dando suporte a um programa gerenciado de resposta a incidentes.

Compliance Manager GRC é onde tudo isso se integra para fins de conformidade. Inclui modelos CIS Controls v8.1 desenvolvidos especificamente para os três Grupos de Implementação, carregando automaticamente as medidas de segurança específicas exigidas para o nível de GI selecionado. A plataforma acompanha o progresso da implementação em todas as 153 medidas de segurança, identifica lacunas e gera automaticamente os manuais de conformidade, relatórios de evidências e documentação de auditoria que comprovam a adesão aos CIS Controls para clientes, auditores e seguradoras cibernéticas.

Para os MSPs, isso transforma os Controles CIS de uma estrutura a ser analisada em um serviço de conformidade gerenciado a ser prestado. Conheça Compliance Manager GRC.

Pontos principais

• O CIS Controls v8.1 oferece 18 medidas de segurança priorizadas, organizadas em Grupos de Implementação que se adaptam ao tamanho da organização. O IG1 (56 medidas de segurança) é a base essencial que toda organização deve atingir.
  
• O modelo do Grupo de Implementação torna os Controles CIS acessíveis a organizações de qualquer tamanho; as pequenas e médias empresas devem focar nos IG1 e IG2, enquanto as grandes empresas devem focar no IG3.
  
• Os controles do CIS estão alinhados com o NIST CSF, o PCI DSS, a HIPAA e a ISO 27001, tornando sua implementação uma prova valiosa de conformidade em várias estruturas simultaneamente.
  
• A plataforma Kaseya implementa diretamente a maioria dos controles CIS por meio do VSA, Datto EDR, IT Glue, Inky, BullPhish ID e Datto BCDR.
  
• Compliance Manager GRC modelos específicos para o CIS v8.1 para todos os três Grupos de Implementação, acompanhando a conclusão das medidas de proteção e gerando automaticamente documentação comprovativa pronta para auditoria.