Início topics O que são CIS benchmarks? O que são CIS benchmarks?
Desenvolvido por uma comunidade global de profissionais de segurança cibernética, as CIS Benchmarks são as melhores práticas para configurar sistemas de TI, software, redes e infraestrutura de cloud com segurança.
Plano de fundo de gradiente preto e azul
O que são CIS benchmarks?

CIS Benchmarks são um grupo de melhores práticas recomendadas para configurar sistemas de TI, software, redes e infraestrutura de cloud com segurança.

Os benchmarks CIS são publicados pelo Center for Internet Security (CIS). Até a data deste artigo, existem mais de 140 CIS Benchmarks no total, abrangendo sete categorias principais de tecnologia. Os CIS Benchmarks são desenvolvidos por meio de um processo distinto, baseado em consenso, envolvendo comunidades de profissionais de segurança cibernética e especialistas no assunto de todo o mundo, cada uma delas identificando, refinando e validando continuamente as melhores práticas de segurança em suas áreas de foco.
Sobre o Center for Internet Security (CIS)

CIS  (link externo à ibm.com) é uma organização sem fins lucrativos criada em outubro de 2000. O CIS é guiado por uma comunidade global da área de TI, com o objetivo comum de identificar, desenvolver, validar, promover e sustentar soluções de melhores práticas para defesa cibernética. Ao longo dos anos, a CIS produziu e distribuiu diversas ferramentas e soluções sem custo para empresas de todos os portes, criadas para fortalecer suas áreas de segurança cibernética.

CIS é mais conhecida por seu lançamento do CIS Controls  (link externo à ibm.com), um guia abrangente com 20 medidas de segurança e contramedidas para oferecer defesa cibernética eficiente. Os CIS Controls oferecem uma lista priorizada que organizações podem implementar para reduzir significativamente a exposição a ataques de segurança cibernética. Os benchmarks CIS fazem referência a esses controles ao desenvolver recomendações para configurações de sistema mais seguras.
Como os CIS Benchmarks são organizados?

Cada CIS Benchmarks inclui várias recomendações de configuração com base em um dos dois níveis de perfil. Perfis de benchmark nível 1 abrangem configurações básicas que são mais fáceis de implementar e que causam impacto mínimo na funcionalidade dos negócios. Perfis de benchmark nível 2 são destinados a ambientes de alta segurança e exigem mais coordenação e planejamento para serem implementados com o mínimo de interrupção nos negócios.

Existem sete (7) categorias principais de CIS Benchmarks:

  1. Benchmarks de sistemas operacionais  abrangem as configurações de segurança dos sistemas operacionais principais, como  Microsoft Windows, Linux e Apple OSX. Isso inclui diretrizes de melhores práticas para restrições de acesso local e remoto, perfis de usuário, protocolos de instalação de drivers e configurações de navegadores da Internet.

  2. Benchmarks de software de servidor abrangem configurações de segurança de software de servidor amplamente utilizados, incluindo Microsoft Windows Server, SQL Server, VMware, Docker e Kubernetes. Esses benchmarks incluem recomendações para configurar Certificados Kubernetes PKI, definições de servidor de APIs, controles administrativos do servidor, políticas vNetwork e restrições de armazenamento.

  3. Benchmarks de provedores de cloud abordam configurações de segurança de endereço para Amazon Web Services (AWS), Microsoft Azure, Google, IBM e outras clouds públicas conhecidas. Eles incluem diretrizes para configuração de gerenciamento de acesso e identidade (IAM), protocolos de logs do sistema, configurações de rede e proteções de conformidade regulamentar.

  4. Benchmarks de dispositivo móvel abordam sistemas operacionais de dispositivos móveis, incluindo iOS e Android e se concentram em áreas como opções e configurações para desenvolvedores, configurações de privacidade de SO, configurações de navegador e permissões de aplicativos.

  5. Benchmarks de dispositivo oferecem diretrizes configuração gerais e específicas a fornecedores para dispositivos de rede e hardware aplicável da Cisco, Palo Alto Networks, Juniper e outros.

  6. Benchmarks de software de área de trabalho abrangem configurações de segurança para alguns dos software de área de trabalho mais usados, incluindo Microsoft Office e Exchange Server, Google Chrome, Mozilla Firefox e Safari Browser. Esses benchmarks se concentram na privacidade de e-mail e nas configurações de servidor, gerenciamento de dispositivos móveis, configurações padrão de navegador e bloqueio de software de terceiros.

  7. Benchmarks de dispositivos de impressão multifuncionais destacam as melhores práticas de segurança para configuração de impressoras multifuncionais em ambientes de escritório e abrangem tópicos como atualização de firmware, configuração de TCP/IP, configuração acesso wireless, gerenciamento de usuários e compartilhamento de arquivos.
CIS Hardened Images

O CIS também oferece Hardened Images pré-configuradas que permitem às empresas a realizar operações de computação de forma econômica, sem a necessidade de investir em hardware ou software adicional. As hardened images são muito mais seguras do que as imagens virtuais padrão e limitam de maneira considerável as vulnerabilidades de segurança que podem levar a um ataque cibernético.

CIS Hardened Images  (link externo à ibm.com) foram criadas e configuradas em conformidade com os controles de benchmarks do CIS e estão comprovadamente em conformidade com diversas organizações de conformidade regulamentar. CIS Hardened Images estão disponíveis para uso em quase todas as principais plataformas de cloud computing e são fáceis de implementar e gerenciar.
CIS Benchmarks e conformidade regulamentar

Os CIS Benchmarks estão estreitamente alinhados com os frameworks regulamentares de segurança e privacidade de dados, incluindo o NIST (National Institute of Standards and Technology) Cybersecurity Framework, PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act) e o ISO/EIC 2700. Como resultado, qualquer organização em um setor regido por esses tipos de regulamentações pode acelerar a conformidade ao aderir aos CIS Benchmarks. Além disso, os CIS Controls e as CIS Hardened Images podem ajudar a manter a conformidade de uma organização com a GDPR (a Lei Geral de Proteção de dados da UE).
Benefícios dos CIS Benchmarks

Embora as empresas tenham a liberdade para escolher suas configurações de segurança, os CIS Benchmarks oferecem:

  • Conhecimento coletivo de uma comunidade global de profissionais de TI e segurança cibernética

  • Guia passo a passo frequentemente atualizado para proteger todas as áreas da infraestrutura de TI

  • Consistência no gerenciamento de conformidade

  • Um modelo de flexibilidade para adotar novos serviços de cloud com segurança e para executar estratégias de transformação digital

  • Configurações de fácil implementação para oferecer maior eficiência operacional e sustentabilidade.
Soluções relacionadas
Soluções de segurança em cloud

Migre para a multicloud híbrida com confiança e integre a segurança em cada etapa de sua jornada para a cloud.Proteja e monitore seus dados, aplicativos e ambientes com IBM Security Services.

Conheça as soluções de segurança da cloud
IBM Cloud Security and Compliance Center

Controle a configuração de recursos em cloud e centralize o gerenciamento de conformidade com as diretrizes organizacionais e regulamentares.

Descubra mais sobre segurança e conformidade
Recursos O que é segurança cibernética?

A tecnologia de segurança cibernética e as melhores práticas protegem sistemas importantes e informações confidenciais de um volume cada vez maior de ameaças em constante mudança.

 O que é o Kubernetes?

Kubernetes é uma plataforma de orquestração de contêiner de software livre que automatiza a implementação, o gerenciamento e o ajuste de escala de aplicativos em contêineres.
Dê o próximo passo

Integrar a cloud ao seu programa de segurança corporativa atual não significa incluir apenas mais alguns controles ou soluções pontuais. Isso requer uma avaliação de suas necessidades de recursos e negócios para o desenvolvimento de uma abordagem nova para a sua cultura e estratégia de segurança em cloud. Para gerenciar um programa de segurança híbrido, coeso e multicloud, é necessário estabelecer visibilidade e controle. Os produtos e especialistas IBM Security® podem ajudá-lo a integrar os controles corretos, orquestrar a implementação de cargas de trabalho e estabelecer um gerenciamento de ameaças eficaz.

Conheça as soluções de segurança IBM Cloud