I controlli CIS (noti come controlli di sicurezza critici) sono un insieme consigliato di azioni per la difesa informatica che forniscono modi specifici e attuabili per fermare gli attacchi più pervasivi e pericolosi di oggi. SANS supporta i controlli CIS con formazione, ricerca e certificazioni. Il 18 maggio 2021, CIS ha lanciato la versione 8 dei controlli, rilasciata alla conferenza globale RSA 2021.

Ecco uno sguardo ai cambiamenti notevoli.

CIS-Controls-v7-v8.png

Aggiornato per stare al passo con l’ecosistema informatico in continua evoluzione: CIS Controls v8 è stato migliorato per stare al passo con i sistemi e i software moderni. Il passaggio al cloud-based computing, la virtualizzazione, la mobilità, l’outsourcing, il lavoro da casa e il cambiamento delle tattiche degli aggressori hanno richiesto l’aggiornamento e supportano la sicurezza di un’azienda mentre si spostano verso ambienti completamente cloud e ibridi.

Definisce il gruppo di implementazione 1 (IG1): IG1 è la definizione di igiene informatica di base e rappresenta uno standard minimo emergente di sicurezza delle informazioni per tutte le imprese. IG1 è un insieme fondamentale di misure di sicurezza per la difesa informatica che ogni azienda dovrebbe applicare per proteggersi dagli attacchi più comuni. IG2 e IG3 si basano su IG precedenti, con IG1 che è la rampa di accesso ai controlli.

Coerente e semplificato: ogni salvaguardia richiede “una cosa”, ove possibile, in un modo che sia chiaro e richieda un’interpretazione minima. Ciascun Safeguard è focalizzato su azioni misurabili e definisce la misurazione come parte del processo. Il linguaggio è semplificato per evitare duplicazioni.

Focus basato sulle attività indipendentemente da chi esegue il controllo: la versione 8 combina e consolida i controlli CIS in base alle attività, anziché in base a chi gestisce i dispositivi. I dispositivi fisici, i confini fissi e le isole discrete di implementazione della sicurezza sono meno importanti; ciò si riflette nella v8 attraverso una terminologia rivista e un raggruppamento di salvaguardie, con conseguente diminuzione del numero di controlli da 20 a 18.

Oltre a semplificare i controlli nella v8, hanno semplificato il nome dei “Controlli CIS”: precedentemente SANS Critical Security Controls (SANS Top 20) e CIS Critical Security Controls, i controlli consolidati sono ora ufficialmente chiamati CIS Controls. SANS ha fatto parte del pannello editoriale di Controls v8.

Sfrutta altre linee guida sulle migliori pratiche: i controlli CIS aggiornati collaborano e indicano gli standard indipendenti esistenti e le raccomandazioni sulla sicurezza laddove esistono. SAFECode ha contribuito in modo determinante al controllo della sicurezza del software applicativo.

L’ecosistema dei controlli CIS… Non si tratta dell’elenco: indipendentemente dal fatto che utilizzi i controlli CIS e/o un altro modo per guidare il tuo programma di miglioramento della sicurezza, dovresti riconoscere che “non si tratta dell’elenco”. Puoi ottenere un elenco credibile di consigli sulla sicurezza da molte fonti: pensa all’elenco come punto di partenza. È importante cercare l’ecosistema che cresce intorno alla lista. A sostegno di ciò, la CSI funge da catalizzatore e centro di smistamento per aiutarci tutti a imparare gli uni dagli altri. Dalla versione 6, c’è stata un’esplosione di informazioni, prodotti e servizi complementari disponibili da CIS e dal settore in generale. Alcuni esempi includono:

  • CIS CSAT Hosted: CIS CSAT è un’applicazione web gratuita che le aziende possono utilizzare per condurre, monitorare e valutare la loro implementazione dei controlli CIS; supporta la collaborazione interdipartimentale consentendo agli utenti di delegare domande ad altri, convalidare le risposte, creare sotto-organizzazioni e altro ancora.
  • Modello di difesa della comunità (CDM): il CDM è un modello analitico per portare un approccio più rigoroso e basato sui dati nei controlli della CSI e nella selezione e definizione delle priorità delle salvaguardie corrispondenti. CDM v1.0 ha mostrato che i controlli CIS mitigano circa l’83% di tutte le tecniche di attacco trovate nel framework MITRE ATT&CK.
  • CIS Controls Mobile Companion Guide : La CIS Controls Mobile Companion Guide aiuta le aziende a implementare le best practice sviluppate consensualmente utilizzando CIS Controls v8 per telefoni, tablet e applicazioni mobili.
  • CIS Controls Cloud Companion Guide: CIS fornisce indicazioni su come applicare le best practice di sicurezza presenti in CIS Controls v8 a qualsiasi ambiente cloud dal punto di vista del consumatore/cliente.

CIS fornisce alle aziende strumenti e documenti di supporto per aiutare con l’implementazione v8: CIS Controls v8 fornisce compatibilità con le versioni precedenti e un percorso di migrazione per consentire agli utenti di versioni precedenti di passare a v8.

Per saperne di più: https://www.cisecurity.org/

Hey, ciao 👋
Benvenuto/a!

Sei pronto a scoprire i segreti della cybersecurity?

Iscriviti alla newsletter per rimanere sempre aggiornato sul mondo cyber!

Non invio spam! Leggi l'Informativa sulla privacy per avere maggiori informazioni.