O que são os CIS Controls (controles críticos de segurança)?
Os CIS Controls (CIS Critical Security Controls) são um conjunto priorizado de boas práticas de cibersegurança mantido pelo Center for Internet Security. A versão vigente, a v8.1, organiza a defesa em 18 controles e 153 salvaguardas, ordenados do mais essencial ao mais avançado, com base em dados reais de ataque. Diferente de uma lei, os CIS Controls não são obrigatórios: são um roteiro prático que responde à pergunta “por onde começo?” e que serve de base para atender frameworks como o NIST CSF e o CMMC.
Como os CIS Controls funcionam na prática
A força dos CIS Controls é a ordem de prioridade: eles dizem não só o que fazer, mas o que fazer primeiro. Em vez de uma lista de 153 tarefas soltas, a empresa escolhe o seu grupo e avança. O ciclo tem quatro passos.
Escolher o grupo de implementação
IG1, IG2 ou IG3: o grupo define quantas salvaguardas se aplicam, conforme o porte, a complexidade e o nível de ameaça que a empresa enfrenta.
Começar pela higiene essencial (IG1)
As 56 salvaguardas do IG1 são o piso que toda empresa deveria ter: inventário de ativos, controle de acesso, backup, defesa de e-mail e navegador.
Medir e fechar as lacunas
Cada salvaguarda é uma tarefa mensurável, o que permite pontuar onde a empresa está e priorizar o que falta pelo maior ganho de defesa.
Mapear para os outros frameworks
Os CIS Controls se cruzam com NIST CSF, ISO 27001 e outros, então o esforço aqui adianta a conformidade lá.
Fonte: Center for Internet Security (CIS), CIS Critical Security Controls v8.1.
Os três grupos de implementação (IG)
- IG1 (Higiene cibernética essencial) As 56 salvaguardas que toda empresa deveria ter, independentemente de setor ou porte. É o piso de defesa.
- IG2 (Complexidade moderada) Acrescenta salvaguardas para empresas com mais sistemas e obrigações regulatórias, chegando a 130 no total.
- IG3 (Ameaça sofisticada) Reúne todas as 153 salvaguardas, para organizações que enfrentam adversários avançados e dados de alto valor.
Por que um roteiro priorizado importa tanto
A maioria das empresas não sofre por falta de ferramenta, mas por não saber por onde começar, e por deixar o básico aberto. Os CIS Controls existem para atacar isso: são construídos a partir de dados reais de ataque, cruzando o MITRE ATT&CK e o relatório de investigações de violação da Verizon, para focar o esforço no que os invasores de fato exploram. O ganho é concreto: boa parte dos incidentes explora justamente as falhas de higiene essencial que o IG1 cobre, como falta de MFA, sistema desatualizado e inventário incompleto. Começar pelo IG1 é o movimento de maior retorno de segurança por investimento em defesa, antes de partir para controles mais sofisticados.
Como uma empresa adota os CIS Controls
Adotar os CIS Controls é menos sobre comprar algo e mais sobre executar na ordem certa. O caminho mais direto:
- Faça o inventário primeiroNão se protege o que não se conhece. O primeiro controle é justamente saber quais dispositivos e softwares existem no ambiente.
- Implemente o IG1 por inteiroTrate as 56 salvaguardas essenciais como o piso inegociável: MFA, backup testado, correção de vulnerabilidade, controle de acesso.
- Pontue-se e priorize o que faltaMeça o quanto do seu grupo já está implementado e ataque as lacunas pelo maior ganho de defesa, não pela ordem da lista.
- Suba de grupo conforme o riscoEmpresas com mais exposição avançam para o IG2 e o IG3, sempre construindo sobre o que o grupo anterior já garantiu.
Na prática
A pergunta que revela o risco real: a empresa tem hoje um inventário confiável de todos os dispositivos e softwares que rodam na rede dela, ou uma lista que envelheceu meses atrás?
Como a Zamak usa os CIS Controls
A Zamak Technologies usa os CIS Controls como um dos roteiros da Governança e Conformidade do Método Zamak: implementar a higiene essencial (IG1), medir a postura e sustentar a evidência sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.