Na edição de estreia da revista IT Security, David Grave, Cybersecurity Consultant da Claranet, destaca as recomendações do Center for Internet Security (CIS) para enfrentar os desafios de cibersegurança.
O combate aos desafios de cibersegurança mais complexos que afetam hoje as organizações passa pela adoção de práticas atualizadas e uniformizadas, de preferência definidas por entidades globais e independentes. O CIS é uma dessas instituições, cujo trabalho e importância são destacados por David Grave num artigo de opinião publicado na edição de junho da nova revista IT Security.
O Cybersecurity Consultant da Claranet Portugal aborda os chamados CIS Controls, um conjunto de orientações e ações defensivas de cibersegurança, que podem ajudar as organizações a evitar os ataques mais perigosos e disseminados, bem como acelerar o cumprimento de objetivos e metas normativas, regulamentares e políticas.
Abordagem holística da segurança
Para David Grave, uma das vantagens dos CIS Controls está no facto de abordarem, de forma transversal, diversas áreas onde a tecnologia é usada numa organização, já que agrupam um total de 171 subcontrolos atuáveis do ponto de vista tecnológico, distribuídos por 20 áreas distintas.
O especialista da Claranet descreve alguns desses subcontrolos, que passam pela inventariação e gestão de ativos, gestão de vulnerabilidades e controlo de privilégios administrativos, até à recolha, monitorização e correlação de logs, recuperação e proteção de dados, bem como testes de intrusão e Red Team.
Outro dos pontos fortes dos CIS Controls reside no facto de poderem ser usados como auxiliares ativos nos processos de cumprimento de normas associadas à conformidade de segurança, incluindo RGPD, ISO 27001, NIST, PCI DSS, FISMA e HIPAA.
Pelas características descritas, David Grave aponta os CIS Controls como “um ponto de partida para reduzir o risco de exposição e mitigar a gravidade da maioria dos tipos de ataque”, por parte das organizações que procuram melhorar a sua postura de segurança e fortalecer as suas defesas contra os vetores de ataque.
in IT Security