CIS Benchmarks são um grupo de melhores práticas recomendadas para configurar sistemas de TI, software, redes e infraestrutura de cloud com segurança.

Os benchmarks CIS são publicados pelo Center for Internet Security (CIS). Até a data deste artigo, existem mais de 140 CIS Benchmarks no total, abrangendo sete categorias principais de tecnologia. Os CIS Benchmarks são desenvolvidos por meio de um processo distinto, baseado em consenso, envolvendo comunidades de profissionais de segurança cibernética e especialistas no assunto de todo o mundo, cada uma delas identificando, refinando e validando continuamente as melhores práticas de segurança em suas áreas de foco.

CIS  (link externo à ibm.com) é uma organização sem fins lucrativos criada em outubro de 2000. O CIS é guiado por uma comunidade global da área de TI, com o objetivo comum de identificar, desenvolver, validar, promover e sustentar soluções de melhores práticas para defesa cibernética. Ao longo dos anos, a CIS produziu e distribuiu diversas ferramentas e soluções sem custo para empresas de todos os portes, criadas para fortalecer suas áreas de segurança cibernética.

CIS é mais conhecida por seu lançamento do CIS Controls  (link externo à ibm.com), um guia abrangente com 20 medidas de segurança e contramedidas para oferecer defesa cibernética eficiente. Os CIS Controls oferecem uma lista priorizada que organizações podem implementar para reduzir significativamente a exposição a ataques de segurança cibernética. Os benchmarks CIS fazem referência a esses controles ao desenvolver recomendações para configurações de sistema mais seguras.

Cada CIS Benchmarks inclui várias recomendações de configuração com base em um dos dois níveis de perfil. Perfis de benchmark nível 1 abrangem configurações básicas que são mais fáceis de implementar e que causam impacto mínimo na funcionalidade dos negócios. Perfis de benchmark nível 2 são destinados a ambientes de alta segurança e exigem mais coordenação e planejamento para serem implementados com o mínimo de interrupção nos negócios.

Existem sete (7) categorias principais de CIS Benchmarks:

1. Benchmarks de sistemas operacionais  abrangem as configurações de segurança dos sistemas operacionais principais, como  Microsoft Windows, Linux e Apple OSX. Isso inclui diretrizes de melhores práticas para restrições de acesso local e remoto, perfis de usuário, protocolos de instalação de drivers e configurações de navegadores da Internet.
   
   
2. Benchmarks de software de servidor abrangem configurações de segurança de software de servidor amplamente utilizados, incluindo Microsoft Windows Server, SQL Server, VMware, Docker e Kubernetes. Esses benchmarks incluem recomendações para configurar Certificados Kubernetes PKI, definições de servidor de APIs, controles administrativos do servidor, políticas vNetwork e restrições de armazenamento.
   
   
3. Benchmarks de provedores de cloud abordam configurações de segurança de endereço para Amazon Web Services (AWS), Microsoft Azure, Google, IBM e outras clouds públicas conhecidas. Eles incluem diretrizes para configuração de gerenciamento de acesso e identidade (IAM), protocolos de logs do sistema, configurações de rede e proteções de conformidade regulamentar.
   
   
4. Benchmarks de dispositivo móvel abordam sistemas operacionais de dispositivos móveis, incluindo iOS e Android e se concentram em áreas como opções e configurações para desenvolvedores, configurações de privacidade de SO, configurações de navegador e permissões de aplicativos.
   
   
5. Benchmarks de dispositivo oferecem diretrizes configuração gerais e específicas a fornecedores para dispositivos de rede e hardware aplicável da Cisco, Palo Alto Networks, Juniper e outros.
   
   
6. Benchmarks de software de área de trabalho abrangem configurações de segurança para alguns dos software de área de trabalho mais usados, incluindo Microsoft Office e Exchange Server, Google Chrome, Mozilla Firefox e Safari Browser. Esses benchmarks se concentram na privacidade de e-mail e nas configurações de servidor, gerenciamento de dispositivos móveis, configurações padrão de navegador e bloqueio de software de terceiros.
   
   
7. Benchmarks de dispositivos de impressão multifuncionais destacam as melhores práticas de segurança para configuração de impressoras multifuncionais em ambientes de escritório e abrangem tópicos como atualização de firmware, configuração de TCP/IP, configuração acesso wireless, gerenciamento de usuários e compartilhamento de arquivos.

O CIS também oferece Hardened Images pré-configuradas que permitem às empresas a realizar operações de computação de forma econômica, sem a necessidade de investir em hardware ou software adicional. As hardened images são muito mais seguras do que as imagens virtuais padrão e limitam de maneira considerável as vulnerabilidades de segurança que podem levar a um ataque cibernético.

CIS Hardened Images  (link externo à ibm.com) foram criadas e configuradas em conformidade com os controles de benchmarks do CIS e estão comprovadamente em conformidade com diversas organizações de conformidade regulamentar. CIS Hardened Images estão disponíveis para uso em quase todas as principais plataformas de cloud computing e são fáceis de implementar e gerenciar.

Os CIS Benchmarks estão estreitamente alinhados com os frameworks regulamentares de segurança e privacidade de dados, incluindo o NIST (National Institute of Standards and Technology) Cybersecurity Framework, PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act) e o ISO/EIC 2700. Como resultado, qualquer organização em um setor regido por esses tipos de regulamentações pode acelerar a conformidade ao aderir aos CIS Benchmarks. Além disso, os CIS Controls e as CIS Hardened Images podem ajudar a manter a conformidade de uma organização com a GDPR (a Lei Geral de Proteção de dados da UE).

Embora as empresas tenham a liberdade para escolher suas configurações de segurança, os CIS Benchmarks oferecem:

• Conhecimento coletivo de uma comunidade global de profissionais de TI e segurança cibernética
  
  
• Guia passo a passo frequentemente atualizado para proteger todas as áreas da infraestrutura de TI
  
  
• Consistência no gerenciamento de conformidade
  
  
• Um modelo de flexibilidade para adotar novos serviços de cloud com segurança e para executar estratégias de transformação digital
  
  
• Configurações de fácil implementação para oferecer maior eficiência operacional e sustentabilidade.