📚
Material de estudo. Os CIS Controls são complementares à ISO 27001 e servem como guia prático de priorização de controles de segurança.
O que são os CIS Controls
Os CIS Controls são 18 controles prioritários organizados por nível de maturidade (IG1, IG2, IG3). Criados pelo Center for Internet Security, são a referência prática mais adotada para segurança cibernética.
Controles mais relevantes para IAM
CIS 5 — Gestão de Contas
Gerenciar o ciclo de vida de contas de usuário e administrador:
- 5.1 — Estabelecer e manter um inventário de contas
- 5.2 — Usar senhas únicas e complexas
- 5.3 — Desabilitar contas inativas (regra dos 90 dias!)
- 5.4 — Restringir privilégios de administrador
- 5.5 — Estabelecer e manter inventário de contas de serviço
- 5.6 — Centralizar gerenciamento de contas
CIS 6 — Gestão de Controle de Acesso
Garantir que apenas pessoas autorizadas acessem dados e sistemas:
- 6.1 — Estabelecer processo de concessão de acesso
- 6.2 — Estabelecer processo de revogação de acesso
- 6.3 — Exigir MFA para aplicações expostas externamente
- 6.4 — Exigir MFA para acesso remoto à rede
- 6.5 — Exigir MFA para acesso administrativo
- 6.6 — Estabelecer e manter inventário de sistemas de autenticação e autorização
- 6.7 — Centralizar controle de acesso
- 6.8 — Definir e manter RBAC
Outros controles relevantes
| CIS # | Nome | Relação com IAM |
|---|---|---|
| CIS 1 | Inventário de Ativos | Saber quais dispositivos existem para controlar acesso |
| CIS 2 | Inventário de Software | Apenas software autorizado, base para SSO |
| CIS 3 | Proteção de Dados | Classificar dados e alinhar controles de acesso |
| CIS 8 | Gestão de Logs de Auditoria | Registrar todos os eventos de autenticação e acesso |
Implementation Groups (IGs)
| Grupo | Perfil | Foco |
|---|---|---|
| IG1 | Pequenas empresas / básico | Higiene cibernética essencial — 56 safeguards |
| IG2 | Empresas médias | IG1 + controles adicionais — 74 safeguards adicionais |
| IG3 | Grandes empresas / reguladas | IG1 + IG2 + controles avançados — 23 safeguards adicionais |
CIS Benchmarks — Hardening Microsoft
O CIS publica Benchmarks com configurações de segurança recomendadas:
- CIS Microsoft 365 Benchmark: Configurações de segurança para o tenant M365
- CIS Azure Benchmark: Hardening de recursos Azure
- CIS Windows Benchmark: Configurações seguras de estações e servidores
- CIS Exchange Benchmark: Segurança do Exchange Online
Como documentar a implantação
- Mapear quais controles são aplicáveis (baseado no IG da empresa)
- Para cada safeguard: documentar status (implementado, parcial, planejado)
- Gerar evidências de implementação (screenshots, configs, logs)
- Realizar assessment periódico usando o CIS CSAT (Self Assessment Tool)
- Criar plano de remediação para gaps identificados
Referências e manuais
📖CIS Controls v8 — Download oficialDocumento completo dos 18 controles e safeguards
📖CIS BenchmarksBenchmarks de hardening para Windows, Azure, M365, Exchange
📖CIS WorkBenchPlataforma para acessar benchmarks e ferramentas