nos últimos dois anos tornou-se óbvio que no mundo da segurança da informação, a ofensa está superando a defesa. Embora os orçamentos aumentem e a gestão preste mais atenção aos riscos de perda de dados e penetração do sistema, os dados ainda estão sendo perdidos e os sistemas ainda estão sendo penetrados. Várias vezes as pessoas perguntam: “o que podemos fazer para proteger nossas informações?”A resposta foi dada sob a forma de 20 controlos de garantia de informação conhecidos como controlos Sci.,
the CIS Critical Security Controls-Version 7.,Controle
Crítica de Controles de Segurança para a Efetiva Defesa Cibernética
As seguintes descrições de Críticos de Controles de Segurança pode ser encontrado no SANS Institute Site:
ao Longo dos anos, muitas normas de segurança e requisitos de estruturas têm sido desenvolvidos na tentativa de lidar com os riscos para os sistemas corporativos e crítica de dados., No entanto, a maioria desses esforços se tornaram essencialmente exercícios de comunicação de conformidade e realmente desviaram recursos do programa de segurança dos ataques em constante evolução que devem ser abordados. Em 2008, Isso foi reconhecido como um problema sério pela Agência de Segurança Nacional dos EUA (NSA), e eles começaram um esforço que tomou uma abordagem de “ataque deve informar a defesa” para priorizar uma lista dos controles que teriam o maior impacto na melhoria da postura de risco contra as ameaças do mundo real. A consortium of U. S., e as agências internacionais cresceram rapidamente, e se juntaram a especialistas da indústria privada e de todo o mundo. Em última análise, recomendações para o que se tornou os controles de segurança críticos (os controles) foram coordenados através do SANS Institute. Em 2013, a gestão e sustentação dos controles foi transferida para o Conselho de segurança cibernética (o Conselho), uma entidade independente e global sem fins lucrativos comprometida com uma Internet segura e aberta.,
A Crítica de Controles de Segurança foca primeiro na priorização de funções de segurança que são eficazes contra as mais Avançadas Ameaças dirigidas, com uma forte ênfase sobre “o Que Funciona” – controles de segurança que os produtos, processos, arquiteturas e serviços estão em uso, que demonstraram mundo real eficácia. A normalização e a automatização são outra das principais prioridades, para obter eficiências operacionais e, ao mesmo tempo, para melhorar a eficácia., As ações definidas pelos controles são comprovadamente um subconjunto do catálogo abrangente definido pelo National Institute of Standards and Technology (NIST) SP 800-53. Os controles não tentam substituir o trabalho do NIST, incluindo o quadro de segurança cibernética desenvolvido em resposta à ordem executiva 13636. Em vez disso, os controles priorizam e focam em um número menor de controles acionáveis com alto retorno, com o objetivo de uma filosofia “deve fazer primeiro”., Uma vez que os controlos foram derivados dos padrões de ataque mais comuns e foram controlados através de uma comunidade muito ampla de governo e indústria, com um consenso muito forte sobre o conjunto resultante de controles, eles servem como base para uma ação imediata de alto valor.
Recomendado Referências
A Crítica de Controles de Segurança (versão 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |