Pular para o conteúdo
Governança e Conformidade

O que são os CIS Controls (controles críticos de segurança)?

Os CIS Controls (CIS Critical Security Controls) são um conjunto priorizado de boas práticas de cibersegurança mantido pelo Center for Internet Security. A versão vigente, a v8.1, organiza a defesa em 18 controles e 153 salvaguardas, ordenados do mais essencial ao mais avançado, com base em dados reais de ataque. Diferente de uma lei, os CIS Controls não são obrigatórios: são um roteiro prático que responde à pergunta “por onde começo?” e que serve de base para atender frameworks como o NIST CSF e o CMMC.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como os CIS Controls funcionam na prática

A força dos CIS Controls é a ordem de prioridade: eles dizem não só o que fazer, mas o que fazer primeiro. Em vez de uma lista de 153 tarefas soltas, a empresa escolhe o seu grupo e avança. O ciclo tem quatro passos.

1

Escolher o grupo de implementação

IG1, IG2 ou IG3: o grupo define quantas salvaguardas se aplicam, conforme o porte, a complexidade e o nível de ameaça que a empresa enfrenta.

2

Começar pela higiene essencial (IG1)

As 56 salvaguardas do IG1 são o piso que toda empresa deveria ter: inventário de ativos, controle de acesso, backup, defesa de e-mail e navegador.

3

Medir e fechar as lacunas

Cada salvaguarda é uma tarefa mensurável, o que permite pontuar onde a empresa está e priorizar o que falta pelo maior ganho de defesa.

4

Mapear para os outros frameworks

Os CIS Controls se cruzam com NIST CSF, ISO 27001 e outros, então o esforço aqui adianta a conformidade lá.

Fonte: Center for Internet Security (CIS), CIS Critical Security Controls v8.1.

Os três grupos de implementação (IG)

  • IG1 (Higiene cibernética essencial) As 56 salvaguardas que toda empresa deveria ter, independentemente de setor ou porte. É o piso de defesa.
  • IG2 (Complexidade moderada) Acrescenta salvaguardas para empresas com mais sistemas e obrigações regulatórias, chegando a 130 no total.
  • IG3 (Ameaça sofisticada) Reúne todas as 153 salvaguardas, para organizações que enfrentam adversários avançados e dados de alto valor.

Por que um roteiro priorizado importa tanto

18 e 153
controles e salvaguardas organizam os CIS Controls v8.1 (CIS)
56
salvaguardas formam o IG1, o piso de higiene cibernética essencial para qualquer empresa (CIS)
3
grupos de implementação cumulativos (IG1, IG2, IG3) escalonam o esforço pelo risco (CIS)

A maioria das empresas não sofre por falta de ferramenta, mas por não saber por onde começar, e por deixar o básico aberto. Os CIS Controls existem para atacar isso: são construídos a partir de dados reais de ataque, cruzando o MITRE ATT&CK e o relatório de investigações de violação da Verizon, para focar o esforço no que os invasores de fato exploram. O ganho é concreto: boa parte dos incidentes explora justamente as falhas de higiene essencial que o IG1 cobre, como falta de MFA, sistema desatualizado e inventário incompleto. Começar pelo IG1 é o movimento de maior retorno de segurança por investimento em defesa, antes de partir para controles mais sofisticados.

Como uma empresa adota os CIS Controls

Adotar os CIS Controls é menos sobre comprar algo e mais sobre executar na ordem certa. O caminho mais direto:

  1. Faça o inventário primeiroNão se protege o que não se conhece. O primeiro controle é justamente saber quais dispositivos e softwares existem no ambiente.
  2. Implemente o IG1 por inteiroTrate as 56 salvaguardas essenciais como o piso inegociável: MFA, backup testado, correção de vulnerabilidade, controle de acesso.
  3. Pontue-se e priorize o que faltaMeça o quanto do seu grupo já está implementado e ataque as lacunas pelo maior ganho de defesa, não pela ordem da lista.
  4. Suba de grupo conforme o riscoEmpresas com mais exposição avançam para o IG2 e o IG3, sempre construindo sobre o que o grupo anterior já garantiu.

Na prática

A pergunta que revela o risco real: a empresa tem hoje um inventário confiável de todos os dispositivos e softwares que rodam na rede dela, ou uma lista que envelheceu meses atrás?

Como a Zamak usa os CIS Controls

A Zamak Technologies usa os CIS Controls como um dos roteiros da Governança e Conformidade do Método Zamak: implementar a higiene essencial (IG1), medir a postura e sustentar a evidência sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.

Perguntas frequentes sobre os CIS Controls

Os CIS Controls são obrigatórios?
Não. São um conjunto voluntário de boas práticas. Mas viraram uma referência tão sólida que muitos frameworks e reguladores os usam como base, e adotá-los adianta a conformidade com normas obrigatórias.
Qual a diferença entre CIS Controls e NIST CSF?
O NIST CSF é um framework de gestão de risco em alto nível (o que governar); os CIS Controls são uma lista priorizada e concreta de ações (o que fazer primeiro). Muitas empresas usam os CIS Controls para executar o que o NIST CSF orienta.
Por onde uma empresa pequena deve começar?
Pelo IG1. Suas 56 salvaguardas são o piso de higiene cibernética pensado justamente para empresas com recurso limitado, e cobrem as falhas que a maioria dos ataques explora.
O que é uma salvaguarda?
É a tarefa específica e mensurável dentro de um controle. O controle diz o objetivo (por exemplo, controlar o acesso); a salvaguarda diz a ação concreta (por exemplo, exigir MFA no acesso remoto).
Os grupos de implementação são cumulativos?
Sim. O IG2 inclui todas as salvaguardas do IG1 e acrescenta as suas; o IG3 inclui tudo. Uma empresa sobe de grupo sem descartar o que já implementou.
Os CIS Controls servem para nuvem e trabalho remoto?
Sim. A v8.1 foi atualizada para ambientes de nuvem, híbridos e remotos, e alinhada ao NIST CSF 2.0, incluindo a função de governança.

Termos relacionados

Continue explorando

Ver o índice completo →
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake