Pular para o conteúdo

Controle CIS 3 para Proteção de Dados

Por BigID

4 leitura de minutos

O CIS (Center for Internet Security) — que consiste em diversos especialistas do setor e líderes de agências governamentais — possui um conjunto de 18 diretrizes universais e independentes do setor, ou “controles críticos de segurança”, que as organizações devem implementar, manter e aplicar para a defesa cibernética.

Este artigo aborda o Controle 3 do CIS — um dos seis principais controles que o CIS considera um “controle básico”.

Proteção de dados versus criptografia de dados

Os dados empresariais não estão mais limitados a ambientes físicos, mas existem locais, na nuvem e em ambientes híbridos — e geralmente é compartilhada com parceiros ou serviços online de terceiros. Informações pessoais e sensíveis Dados como os de clientes, dados financeiros, dados de saúde, propriedade intelectual e outros são altamente regulamentados por leis de privacidade e proteção e padrões.

Proteção de dados Não se trata apenas de criptografia de dados. Para atender aos requisitos de proteção e conformidade com a privacidade, as organizações devem ir além dos métodos tradicionais de segurança cibernética e se concentrar na coleta, uso e manutenção adequados dos dados. gerenciamento, retençãoe muito mais. Eles devem gerenciar os dados adequadamente ao longo de todo o seu ciclo de vida.

Salvaguardas do Controle CIS 3

  1. Estabelecer e manter um processo de gestão de dados
    — Função de segurança: Identificar
    Esses processos precisam de abordar os níveis de sensibilidade dos dados, Quem é o proprietário dos dados?, limites de retenção de dadose descarte de dados para uma organização com base na sensibilidade.
  2. Estabelecer e manter um inventário de dados.
    — Função de segurança: Identificar
    A prioridade do inventário deve ser dada aos dados sensíveis.
  3. Configure as listas de controle de acesso a dados.
    — Função de segurança: Proteger
    Certifique-se de que todos os usuários tenham permissões de acesso Para os sistemas, bancos de dados e aplicativos que eles precisam para realizar seus trabalhos — e nada mais.
  4. Impor a retenção de dados
    — Função de segurança: Proteger
    Defina e imponha prazos de retenção mínimos e máximos.
  5. Descarte os dados com segurança.
    — Função de segurança: Proteger
    Definir e implementar o descarte de dados de acordo com o nível de sensibilidade.
  6. Criptografar dados em dispositivos de usuário final
    — Função de segurança: Proteger
    Mitigue o risco de perda de dados em dispositivos roubados ou comprometidos através da criptografia de dados.
  7. Estabelecer e manter um esquema de classificação de dados
    — Função de segurança: Identificar
    Defina e mantenha um estrutura de classificação baseada em sensibilidade, classificando dados de acordo com rótulos que sejam relevantes para o negócio. A CIS recomenda, por exemplo, “confidencial”, “sensível” e “público”.
  8. Fluxos de dados de documentos
    — Função de segurança: Identificar
    Mapeie o fluxo de dados em toda a organização para protegê-los ainda mais.
  9. Criptografar dados em mídias removíveis
    — Função de segurança: Proteger
    Mídias removíveis apresentam um risco maior de perda de dados devido a roubo ou comprometimento.
  10. Criptografe dados confidenciais em trânsito.
    — Função de segurança: Proteger
    Criptografe os dados em trânsito e assegure-se de que a criptografia seja devidamente autenticada.
  11. Criptografe dados confidenciais em repouso.
    — Função de segurança: Proteger
    No mínimo, utilize criptografia do lado do servidor e, adicionalmente, adicione criptografia do lado do cliente.
  12. Processamento e armazenamento de dados segmentados com base na sensibilidade.
    — Função de segurança: Proteger
    Garanta que os dados sejam processados e armazenados apenas de acordo com seu nível de sensibilidade.
  13. Implemente uma solução de prevenção contra perda de dados.
    — Função de segurança: Proteger
    Proteja-se contra a perda de dados utilizando ferramentas automatizadas, como uma ferramenta DLP (prevenção contra perda de dados) baseada em host.
  14. Registre o acesso a dados confidenciais.
    — Função de segurança: Detectar
    Manter registros de acesso a dados sensíveis para simplificar a resposta a incidentes em caso de violação.

Componentes dos controles do CIS — e conformidade

O Controle 3 do CIS possui componentes que impactam diretamente a conformidade regulatória com diversas normas de proteção e privacidade, incluindo, entre outras:

Organizações que implementam controles CIS estão em melhor posição para atender aos requisitos de conformidade dessas regulamentações. Estrutura de cibersegurança do NIST, que também fornece diretrizes para empresas que buscam fortalecer sua postura de segurança, está alinhada com muitos dos componentes do CIS CSC.

BigID, Segurança de Dados e Controle CIS 3

Para atender às salvaguardas do Controle 3 do CIS, as empresas precisam entender seus dados de acordo com sua sensibilidade — e essa capacidade só se adquire com conhecendo seus dados — permitindo visibilidade completa de dados pessoais, sensíveis e críticos, onde quer que estejam, na nuvem ou em infraestruturas locais.

Com o BigID técnicas avançadas de classificação Com essa abrangência, as organizações podem criar um inventário preciso, completo e atualizado de todos os seus ativos de dados, onde quer que estejam — na nuvem ou em infraestruturas locais.

O BigID identifica automaticamente dados não utilizados, duplicados, semelhantes ou redundantes para reduzir a exposição indesejada e minimizar o volume de dados. Com aplicativos adicionais para inteligência de acesso, retenção de dados, remediação de dados, e registros de atividades de processamento (RoPA)As organizações podem:

  • Detectar dados vulneráveis, de alto risco e superexpostos
  • Habilite políticas de retenção e regras de negócios — e aplique-as de forma consistente em todos os tipos e fontes de dados.
  • Priorize os esforços de remediação para identificar quais dados precisam ser marcados para remoção.
  • Automatize a geração de fluxos de dados que abrangem transferências de dados.

Além disso, o BigID permite que as equipes orquestrem fluxos de trabalho para que as pessoas certas possam tomar as medidas certas com base nos dados certos. Assuma o controle e marque dados para criptografia, correção, remoção e muito mais por meio do BigID e seu ecossistema de integrações com ferramentas em toda a sua infraestrutura tecnológica.

Descubra mais sobre como a BigID ajuda as organizações na proteção de dados de acordo com os controles CIS. Agende uma demonstração hoje mesmo.

Autor

BigID

Conheça a equipe de autores da BigID, um time diversificado composto por profissionais de marketing de produto, especialistas no assunto e redatores com profundo conhecimento em privacidade, segurança e governança de dados. Nossa abordagem colaborativa aproveita uma vasta experiência do setor para criar conteúdo informativo e relevante, garantindo que você se mantenha atualizado neste cenário em constante evolução.

Conteúdo