Estabelecer e manter inventário detalhado de ativos empresariais:

Estabelecer e manter um inventário preciso, detalhado e atualizado de todos os ativos empresariais com potencial para armazenar ou processar dados, incluindo: dispositivos de usuário final (incluindo portáteis e móveis), dispositivos de rede, não informáticos/IoT dispositivos e servidores. Certifique-se de que o inventário registre o endereço da rede (se estático), o endereço do hardware, o nome da máquina, o proprietário do ativo de dados, o departamento de cada ativo e se o ativo foi aprovado para se conectar à rede. Para dispositivos móveis de usuário final, as ferramentas do tipo MDM podem oferecer suporte a este processo, quando apropriado. Este inventário inclui ativos conectados à infraestrutura fisicamente, virtualmente, remotamente e aqueles em ambientes de nuvem. Além disso, inclui ativos que são conectados regularmente à infraestrutura de rede da empresa, mesmo que não estejam sob o controle da empresa. Revise e atualize o inventário de todos os ativos da empresa semestralmente ou com mais frequência.

Ativos não autorizados do endereço:

Certifique-se de que exista um processo para lidar com ativos não autorizados semanalmente. A empresa pode optar por remover o ativo da rede, negar que o ativo se conecte remotamente à rede ou colocar o ativo em quarentena.

Utilize uma ferramenta de descoberta ativa:

Utilize uma ferramenta de descoberta ativa para identificar ativos conectados à rede da empresa. Configure a ferramenta de descoberta ativa para executar diariamente ou com mais frequência.

Use o registro em log do Protocolo de configuração de host dinâmico (DHCP) para atualizar o inventário de ativos empresariais:

Use o registro em log DHCP em todos os servidores DHCP ou ferramentas de gestão de endereço de Protocolo de Internet (IP) para atualizar o inventário de ativos da empresa. Revise e use logs para atualizar o inventário de ativos da empresa semanalmente ou com mais frequência.

Use uma ferramenta de descoberta de ativo passivo:

Use uma ferramenta de descoberta passiva para identificar ativos conectados à rede da empresa. Revise e use verificações para atualizar o inventário de ativos da empresa pelo menos semanalmente ou com mais frequência.

Estabelecer e manter um inventário de software:

Estabelecer e manter um inventário detalhado de todos os softwares licenciados instalados nos ativos empresariais. O inventário de software deve documentar o título, o fornecedor, a data de instalação/uso inicial e a finalidade comercial de cada entrada; quando apropriado, inclua o localizador uniforme de recursos (URL), loja(s) de aplicações, versão(ões), mecanismo de implantação e data de desativação. Revise e atualize o inventário de software semestralmente ou com mais frequência.

Certifique-se de que o software autorizado seja compatível no momento

Certifique-se de que somente o software compatível atualmente seja designado como autorizado no inventário de software para ativos empresariais. Se o software não tiver suporte, mas for necessário para o cumprimento da missão da empresa, documente uma exceção detalhando os controles de mitigação e a aceitação de risco residual. Para qualquer software sem suporte sem uma documentação de exceção, designe como não autorizado. Revise a lista de software para verificar o suporte de software pelo menos uma vez por mês ou com mais frequência.

Software não autorizado do endereço:

Certifique-se de que o software não autorizado seja removido do uso em ativos empresariais ou receba uma exceção documentada. Revise mensalmente ou com mais frequência.

Utilize ferramentas automatizadas de inventário de software:

Utilize ferramentas de inventário de software, quando possível, em toda a empresa para automatizar a descoberta e a documentação do software instalado.

Software autorizado da lista de permissões:

Use controles técnicos, como lista de permissões de aplicações, para garantir que somente software autorizado possa ser executado ou acessado. Reavaliar semestralmente ou com mais frequência.

Bibliotecas autorizadas da lista de permissões:

Use controles técnicos para garantir que somente bibliotecas de software autorizadas, como arquivos .dll, .ocx, .so etc. específicos, possam ser carregadas em um processo do sistema. Bloqueie o carregamento de bibliotecas não autorizadas em um processo do sistema. Reavaliar semestralmente ou com mais frequência.

Scripts autorizados da lista de permissões:

Use controles técnicos, como assinaturas digitais e controle de versão, para garantir que somente scripts autorizados, como arquivos .ps1, .py etc. específicos, possam ser executados. Bloqueie a execução de scripts não autorizados. Reavaliar semestralmente ou com mais frequência.

Estabelecer e manter um processo de gestão de dados:

Estabelecer e manter um processo de gestão de dados. No processo, aborde a confidencialidade dos dados, o proprietário dos dados, o tratamento de dados, os limites de retenção de dados e os requisitos de descarte, com base nos padrões de confidencialidade e retenção da empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Criptografar dados confidenciais em trânsito:

Criptografe dados confidenciais em trânsito. As implementações de exemplo podem incluir TLS (Transport Layer Security) e Open Secure Shell (OpenSSH).

Criptografar dados confidenciais em repouso:

Criptografe dados confidenciais em repouso em servidores, aplicações e bancos de dados que contenham dados confidenciais. A criptografia de camada de armazenamento, também conhecida como criptografia do lado do servidor, atende ao requisito mínimo desta proteção. Métodos de criptografia adicionais podem incluir criptografia de camada de aplicação, também conhecida como criptografia do lado do cliente, em que o acesso ao(s) dispositivo(s) de armazenamento de dados não permite o acesso aos dados de texto sem formatação.

Processamento de dados de segmento e armazenamento com base na confidencialidade:

Processamento e armazenamento de dados de segmento com base na confidencialidade dos dados. Não processe dados confidenciais em ativos empresariais destinados a dados de menor confidencialidade.

Implante uma solução de prevenção de perda de dados:

Implementar uma ferramenta automatizada, como uma ferramenta de prevenção de perda de dados (DLP) baseada em host para identificar todos os dados confidenciais armazenados, processados ou transmitidos por meio de ativos da empresa, incluindo aqueles localizados no local ou em um provedor de serviços remoto, e atualizar os dados confidenciais da empresa inventário.

Registrar acesso a dados confidenciais:

Registre o acesso a dados confidenciais, incluindo modificação e descarte.

Estabelecer e manter um inventário de dados:

Estabelecer e manter um inventário de dados, com base no processo de gestão de dados da empresa. Dados confidenciais do inventário, no mínimo. Revisar e atualizar o inventário anualmente, no mínimo, com prioridade em dados confidenciais.

Configurar listas de controle de acesso a dados:

Configure listas de controle de acesso a dados com base na necessidade de conhecimento de um usuário. Aplique listas de controle de acesso a dados, também conhecidas como permissões de acesso, a sistemas de arquivos, bancos de dados e aplicações locais e remotos.

Impor retenção de dados:

Retenha os dados de acordo com o processo de gestão de dados da empresa. A retenção de dados deve incluir linhas do tempo mínima e máxima.

Descartar dados com segurança:

Descarte os dados com segurança, conforme descrito no processo de gestão de dados da empresa. Certifique-se de que o processo e o método de descarte sejam proporcionais à confidencialidade dos dados.

Criptografar dados em dispositivos do usuário final:

Criptografe dados em dispositivos de usuário final que contenham dados confidenciais. Exemplos de implementações podem incluir Windows BitLocker™, Apple FileVault™, Linux dm-crypt™.

Estabelecer e manter um esquema de classificação de dados:

Estabelecer e manter um esquema geral de classificação de dados para a empresa. As empresas podem usar rótulos, como "Confidencial", "Confidencial" e "Público" e classificar seus dados de acordo com esses rótulos. Revise e atualize o esquema de classificação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Fluxos de dados do documento:

Fluxos de dados do documento. A documentação do fluxo de dados inclui fluxos de dados do provedor de serviços e deve ser baseada no processo de gestão de dados da empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Criptografar dados em mídia removível:

Criptografe dados em mídia removível.

Estabeleça e mantenha um processo de configuração seguro:

Estabeleça e mantenha um processo de configuração seguro para ativos empresariais (dispositivos de usuário final, incluindo dispositivos portáteis e móveis; dispositivos que não sejam de computação/IoT; e servidores) e software (sistemas operacionais e aplicações).Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Impor bloqueio automático de dispositivo em dispositivos portáteis de usuário final:

Imponha o bloqueio automático do dispositivo seguindo um limite predeterminado de tentativas de autenticação locais com falha em dispositivos portáteis do usuário final, quando houver suporte. Para laptops, não permita mais de 20 tentativas de autenticação com falha; para tablets e smartphones, não mais de 10 tentativas de autenticação com falha. As implementações de exemplo incluem Microsoft Bloqueio de dispositivo InTune e Apple Perfil de configuração maxFailedAttempts.

Impor a capacidade de limpeza remota em dispositivos portáteis do usuário final:

Limpe remotamente os dados corporativos dos dispositivos portáteis de usuário final de propriedade da empresa quando considerado apropriado, como dispositivos perdidos ou roubados, ou quando um indivíduo não oferece mais suporte à empresa.

Espaços empresariais separados em dispositivos móveis de usuário final:

Certifique-se de que espaços empresariais separados sejam usados em dispositivos móveis de usuário final, quando compatíveis. Exemplos de implementações incluem o uso de um perfil de configuração [ Apple ou perfil de trabalho Android para separar aplicações e dados empresariais de aplicações e dados pessoais.

Estabeleça e mantenha um processo de configuração seguro para infraestrutura de rede:

Estabeleça e mantenha um processo de configuração seguro para dispositivos de rede. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Configure o bloqueio automático de sessão em ativos empresariais:

Configure o bloqueio automático de sessão em ativos empresariais após um período definido de inatividade. Para sistemas operacionais de uso geral, o período não deve exceder 15 minutos. Para dispositivos móveis de usuário final, o período não deve exceder 2 minutos.

Implementar e gerenciar um firewall em servidores:

Implemente e gerencie um firewall em servidores, quando compatível. Exemplos de implementações incluem um firewall virtual, firewall do sistema operacional ou um agente de firewall de terceiros.

Implementar e gerenciar um firewall em dispositivos de usuário final:

Implemente e gerencie um firewall baseado em host ou uma ferramenta de filtragem de portas em dispositivos de usuário final, com uma regra de negação padrão que descarta todo o tráfego, exceto os serviços e portas que são explicitamente permitidos.

Gerenciar com segurança ativos e software empresariais:

Gerencie com segurança ativos e software empresariais. As implementações de exemplo incluem o gerenciamento da configuração por meio de infraestrutura controlada por versão e o acesso a interfaces administrativas sobre protocolos de rede seguros, como Secure Shell (SSH) e HTTPS (Hypertext Transfer Protocol Secure). Não use protocolos de gerenciamento inseguros, como Telnet (Rede Teletype) e HTTP, a menos que seja operacionalmente essencial.

Gerenciar contas padrão em ativos e software empresariais:

Gerencie contas padrão em ativos e software empresariais, como raiz, administrador e outras contas de fornecedor pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.

Desinstale ou desabilite serviços desnecessários em ativos e software empresariais:

Desinstale ou desabilite serviços desnecessários em ativos e software empresariais, como um serviço de compartilhamento de arquivos não utilizado, um módulo de aplicativo da Web ou uma função de serviço.

Configure servidores DNS confiáveis em ativos empresariais:

Configure servidores DNS confiáveis em ativos empresariais. Os exemplos de implementações incluem: configuração de ativos para usar servidores DNS controlados pela empresa e/ou servidores DNS respeitáveis acessíveis externamente.

Estabelecer e manter um inventário de contas:

Estabelecer e manter um inventário de todas as contas gerenciadas na empresa. O inventário deve incluir contas de usuário e de administrador. O inventário, no mínimo, deve conter o nome da pessoa, nome de usuário, datas de início/parada e departamento. Valide se todas as contas ativas estão autorizadas, em uma programação recorrente pelo menos trimestralmente ou com mais frequência.

Usar senhas exclusivas:

Use senhas exclusivas para todos os ativos empresariais. A implementação de prática recomendada inclui, no mínimo, uma senha de 8 caracteres para contas que usam MFA e uma senha de 14 caracteres para contas que não usam MFA.

Desabilitar contas inativas:

Exclua ou desabilite contas inativas após um período de 45 dias de inatividade, quando houver suporte.

Restringir privilégios de administrador a contas de administrador dedicadas:

Restringir os privilégios de administrador a contas de administrador dedicadas em ativos empresariais. Realize atividades de computação gerais, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta primária não privilegiada do usuário.

Estabelecer e manter um inventário de contas de serviço:

Estabelecer e manter um inventário de contas de serviço. O inventário, no mínimo, deve conter o proprietário do departamento, a data de revisão e a finalidade. Execute revisões de conta de serviço para validar que todas as contas ativas estão autorizadas, em uma programação recorrente pelo menos trimestralmente ou com mais frequência.

Centralizar a gestão de contas:

Centralize a gestão de contas por meio de um diretório ou serviço de identidade.

Estabeleça um processo de concessão de acesso:

Estabeleça e siga um processo, de preferência automatizado, para conceder acesso a ativos da empresa após uma nova contratação, concessão de direitos ou mudança de função de um usuário.

Estabeleça um processo de revogação de acesso:

Estabeleça e siga um processo, de preferência automatizado, para revogar o acesso a ativos empresariais, desativando contas imediatamente após a rescisão, revogação de direitos ou mudança de função de um usuário. Desabilitar contas, em vez de excluir contas, pode ser necessário para preservar as trilhas de auditoria.

Exigir MFA para aplicações expostas externamente:

Exija que todas as aplicações corporativas ou de terceiros expostas exponham a MFA, quando compatível. Impor a MFA por meio de um serviço de diretório ou provedor de SSO é uma implementação satisfatória dessa proteção.

Exigir MFA para acesso remoto à rede:

Exija MFA para acesso remoto à rede.

Exigir MFA para acesso administrativo:

Exija MFA para todas as contas de acesso administrativo, quando compatíveis, em todos os ativos da empresa, sejam eles gerenciados no local ou por meio de um provedor terceirizado.

Estabelecer e manter um inventário de sistemas de autenticação e autorização:

Estabeleça e mantenha um inventário dos sistemas de autenticação e autorização da empresa, incluindo aqueles hospedados no local ou em um provedor de serviços remoto. Revise e atualize o inventário, no mínimo, anualmente ou com mais frequência.

Centralizar o controle de acesso:

Centralize o controle de acesso para todos os ativos da empresa por meio de um serviço de diretório ou provedor de SSO, quando compatível.

Definir e manter o controle de acesso baseado em função:

Defina e mantenha o controle de acesso baseado em função, determinando e documentando os direitos de acesso necessários para que cada função na empresa execute com sucesso as tarefas atribuídas. Execute revisões de controle de acesso de ativos empresariais para validar se todos os privilégios estão autorizados, em uma programação recorrente pelo menos uma vez por ano ou com mais frequência.

Estabelecer e manter um processo de gestão de vulnerabilidades:

Estabelecer e manter um processo de gestão de vulnerabilidades documentado para ativos empresariais. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter um processo de correção:

Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.

Execute a Gestão de patches do sistema operacional automatizado:

Execute atualizações do sistema operacional em ativos empresariais por meio da gestão automatizada de patches mensalmente ou com mais frequência.

Execute a Gestão automatizada de patches de aplicações:

Execute atualizações de aplicações em ativos empresariais por meio da gestão automatizada de patches mensalmente ou com mais frequência.

Execute verificações de vulnerabilidade automatizadas de ativos empresariais internos:

Realize verificações de vulnerabilidade automatizadas de ativos internos da empresa trimestralmente ou com mais frequência. Realize verificações autenticadas e não autenticadas usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP.

Execute verificações de vulnerabilidade automatizadas de ativos empresariais expostos externamente:

Execute verificações de vulnerabilidade automatizadas de ativos corporativos expostos externamente usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP. Execute verificações mensalmente ou com mais frequência.

Corrigir vulnerabilidades detectadas:

Corrija vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.

Estabelecer e manter um processo de gestão de logs de auditoria:

Estabeleça e mantenha um processo de gestão de logs de auditoria que defina os requisitos de registro em log da empresa. No mínimo, aborde a coleta, a revisão e a retenção de logs de auditoria para ativos empresariais. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Reter logs de auditoria:

Mantenha os logs de auditoria nos ativos empresariais por um mínimo de 90 dias.

Realizar revisões do log de auditoria:

Realize revisões de logs de auditoria para detectar anomalias ou eventos anormais que podem indicar uma possível ameaça. Realize revisões semanalmente ou com mais frequência.

Coletar logs do provedor de serviços:

Colete logs do provedor de serviços, quando houver suporte. As implementações de exemplo incluem a coleta de eventos de autenticação e autorização, eventos de criação e descarte de dados e eventos de gerenciamento de usuários.

Coletar logs de auditoria:

Coletar logs de auditoria. Certifique-se de que o registro em log, de acordo com o processo de gestão de logs de auditoria da empresa, tenha sido habilitado em todos os ativos empresariais.

Garanta o armazenamento adequado do log de auditoria:

Certifique-se de que os destinos de registro em log mantenham armazenamento adequado para conformidade com o processo de gestão de logs de auditoria da empresa.

Padronizar sincronização de tempo:

Padronizar a sincronização de tempo. Configure pelo menos duas fontes de tempo sincronizadas em ativos empresariais, quando houver suporte.

Coletar logs de auditoria detalhados:

Configure o registro em log de auditoria detalhado para ativos empresariais que contenham dados confidenciais. Inclua origem do evento, data, nome de usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis que podem ajudar em uma investigação forense.

Coletar logs de auditoria de consulta DNS:

Colete logs de auditoria de consulta DNS em ativos empresariais, quando apropriado e compatível.

Coletar logs de auditoria de solicitação de URL:

Colete logs de auditoria de solicitação de URL em ativos empresariais, quando apropriado e compatível.

Coletar logs de auditoria de linha de comando:

Colete logs de auditoria de linha de comando. Exemplos de implementações incluem a coleta de logs de auditoria do PowerShell™, BSH™e terminais administrativos remotos.

Centralizar logs de auditoria:

Centralize, na medida do possível, a coleta e a retenção de logs de auditoria nos ativos empresariais.

Certifique-se de usar somente navegadores e clientes de e-mail totalmente compatíveis:

Certifique-se de que somente navegadores e clientes de e-mail totalmente compatíveis possam ser executados na empresa, usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Usar serviços de filtragem de DNS:

Use serviços de filtragem de DNS em todos os ativos da empresa para bloquear o acesso a domínios maliciosos conhecidos.

Manter e impor filtros de URL baseados em rede:

Imponha e atualize filtros de URL baseados em rede para impedir que um ativo empresarial se conecte a sites potencialmente mal-intencionados ou não aprovados. Exemplos de implementações incluem filtragem baseada em categoria, filtragem baseada em reputação ou por meio do uso de listas de bloqueios. Imponha filtros para todos os ativos empresariais.

Restringir extensões desnecessárias ou não autorizadas do navegador e do cliente de e-mail:

Restringir, seja por meio de desinstalação ou desabilitação, qualquer navegador não autorizado ou desnecessário ou plug-ins de cliente de e-mail, extensões e aplicações adicionais.

Implementar DMARC:

Para diminuir a chance de e-mails falsificados ou modificados de domínios válidos, implemente a política e a verificação DMARC, começando com a implementação dos padrões SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).

Bloquear tipos de arquivos desnecessários:

Bloqueie tipos de arquivo desnecessários que tentam entrar no gateway de e-mail da empresa.

Implantar e manter proteções antimalware do servidor de e-mail:

Implante e mantenha proteções antimalware do servidor de e-mail, como verificação de anexos e/ou área restrita.

Implantar e manter o software antimalware:

Implante e mantenha o software antimalware em todos os ativos da empresa.

Configurar atualizações automáticas de assinatura antimalware:

Configure atualizações automáticas para arquivos de assinatura antimalware em todos os ativos empresariais.

Desabilitar execução automática e reprodução automática para mídia removível:

Desabilite a funcionalidade de execução automática e execução automática para mídias removíveis.

Configure a verificação antimalware automática de mídia removível:

Configure o software antimalware para verificar automaticamente a mídia removível.

Habilitar recursos antiexploração:

Habilite recursos antiexploração em ativos e software corporativos, sempre que possível, como Microsoft Prevenção de execução de dados (DEP), Windows Defender Exploit Guard (WDEG) ou Apple System Integrity Protection (SIP) e Porteiro™.

Gerenciar centralmente o software antimalware:

Gerencie centralmente o software antimalware.

Use o software antimalware baseado em comportamento:

Use software antimalware baseado em comportamento.

Estabelecer e manter um processo de recuperação de dados :

Estabeleça e mantenha um processo de recuperação de dados. No processo, aborde o escopo das atividades de recuperação de dados, a priorização de recuperação e a segurança dos dados de backup. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Executar backups automatizados :

Execute backups automatizados de ativos empresariais no escopo. Execute backups semanalmente ou com mais frequência, com base na confidencialidade dos dados.

Proteger dados de recuperação:

Proteja os dados de recuperação com controles equivalentes aos dados originais. Criptografia de referência ou separação de dados, com base em requisitos.

Estabelecer e manter uma instância isolada de dados de recuperação :

Estabeleça e mantenha uma instância isolada de dados de recuperação. As implementações de exemplo incluem destinos de backup de controle de versão por meio de sistemas ou serviços off-line, em nuvem ou fora do local.

Testar recuperação de dados:

Teste a recuperação de backup trimestralmente, ou com mais frequência, para obter uma amostra de ativos empresariais no escopo.

Certifique-se de que a infraestrutura de rede esteja atualizada:

Certifique-se de que a infraestrutura de rede seja mantida atualizada. As implementações de exemplo incluem a execução da versão estável mais recente do software e/ou o uso de ofertas de rede como serviço (NaaS) compatíveis no momento. Revise as versões do software mensalmente, ou com mais frequência, para verificar o suporte do software.

Estabeleça e mantenha uma arquitetura de rede segura:

Estabelecer e manter uma arquitetura de rede segura. Uma arquitetura de rede segura deve abordar a segmentação, o privilégio mínimo e a disponibilidade, no mínimo.

Gerenciar com segurança a infraestrutura de rede:

Gerencie com segurança a infraestrutura de rede. Exemplos de implementações incluem infraestrutura controlada por versão como código e o uso de protocolos de rede seguros, como SSH e HTTPS.

Estabelecer e manter diagrama(s) de arquitetura:

Estabelecer e manter diagrama(s) de arquitetura e/ou outra documentação do sistema de rede. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Centralize a autenticação, autorização e auditoria de rede (AAA):

Centralize a rede AAA.

Uso de gestão de rede segura e protocolos de comunicação:

Use gestão de rede segura e protocolos de comunicação (por exemplo, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise ou superior).

Certifique-se de que os dispositivos remotos utilizem uma VPN e estejam se conectando à infraestrutura AAA de uma empresa:

Exija que os usuários se autentiquem na VPN gerenciada pela empresa e nos serviços de autenticação antes de acessar os recursos da empresa nos dispositivos do usuário final.

Estabelecer e manter recursos de computação dedicados para todo o trabalho administrativo:

Estabeleça e mantenha recursos de computação dedicados, separados física ou logicamente, para todas as tarefas administrativas ou tarefas que exigem acesso administrativo. Os recursos de computação devem ser segmentados da rede primária da empresa e não devem ter permissão para acessar a Internet.

Centralizar alertas de evento de segurança:

Centralize os alertas de evento de segurança nos ativos empresariais para correlação e análise de logs. A implementação da prática recomendada requer o uso de um SIEM, que inclui alertas de correlação de eventos definidos pelo fornecedor. Uma plataforma de análise de log configurada com alertas de correlação relevantes para a segurança também atende a essa proteção.

Executar filtragem de camada da aplicação:

Execute a filtragem de camada da aplicação. Exemplos de implementações incluem um proxy de filtragem, firewall de camada de aplicação ou gateway.

Ajustar limites de alerta de evento de segurança:

Ajuste os limites de alerta de evento de segurança mensalmente ou com mais frequência.

Implante uma solução de detecção de intrusão baseada em host:

Implante uma solução de detecção de intrusão baseada em host em ativos empresariais, quando apropriado e/ou compatível.

Implante uma Solução de detecção de intrusão de rede:

Implante uma solução de detecção de intrusão de rede em ativos empresariais, quando apropriado. Exemplos de implementações incluem o uso de um sistema de detecção de intrusão de rede (NIDS) ou serviço de provedor de serviço de nuvem equivalente (CSP).

Execute a filtragem de tráfego entre segmentos de rede:

Execute a filtragem de tráfego entre segmentos de rede, quando apropriado.

Gerenciar o controle de acesso para ativos remotos:

Gerencie o controle de acesso para ativos que se conectam remotamente a recursos da empresa. Determine a quantidade de acesso aos recursos da empresa com base em: software antimalware atualizado instalado; conformidade de configuração com o processo de configuração segura da empresa; e garantir que o sistema operacional e os aplicativos estejam atualizados.

Coletar logs de fluxo de tráfego de rede:

Colete logs de fluxo de tráfego de rede e/ou tráfego de rede para revisar e alertar sobre os dispositivos de rede.

Implante uma solução de prevenção de intrusão baseada em host:

Implante uma solução de prevenção de intrusão baseada em host em ativos empresariais, quando apropriado e/ou compatível. Exemplos de implementações incluem o uso de um cliente de detecção e resposta de endpoint (EDR) ou um agente IPS baseado em host.

Implante uma solução de prevenção contra intrusão de rede:

Implante uma solução de prevenção de invasão de rede, quando apropriado. Exemplos de implementações incluem o uso de um sistema de prevenção de intrusão de rede (NIPS) ou serviço CSP equivalente.

Implante o controle de acesso no nível da porta:

Implante o controle de acesso no nível da porta. O controle de acesso no nível da porta utiliza 802.1x ou protocolos de controle de acesso à rede semelhantes, como certificados, e pode incorporar autenticação de usuário e/ou dispositivo.

Estabelecer e manter um programa de conscientização de segurança:

Estabelecer e manter um programa de conscientização de segurança. O objetivo de um programa de conscientização de segurança é educar a força de trabalho da empresa sobre como interagir com ativos e dados empresariais de maneira segura. Realize treinamento na contratação e, no mínimo, anualmente. Revise e atualize o conteúdo anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Treinar membros da força de trabalho para reconhecer ataques de engenharia social:

Treine os membros da força de trabalho para reconhecer ataques de engenharia social, como phishing, pré-envio de mensagens de texto e uso não autorizado. 

Treinar membros da força de trabalho em práticas recomendadas de autenticação:

Treine os membros da força de trabalho nas práticas recomendadas de autenticação. Os tópicos de exemplo incluem MFA, composição de senha e gerenciamento de credenciais.

Treinar a força de trabalho em práticas recomendadas de manipulação de dados:

Treine os membros da força de trabalho sobre como identificar e armazenar, transferir, arquivar e destruir corretamente dados confidenciais. Isso também inclui o treinamento de membros da força de trabalho sobre as práticas recomendadas de tela limpa e mesa, como bloquear a tela quando eles se afastam do ativo empresarial, apagar quadros brancos físicos e virtuais ao final das reuniões e armazenar dados e ativos com segurança.

Treinar membros da força de trabalho sobre as causas da exposição não intencional de dados:

Treine os membros da força de trabalho para que estejam cientes das causas da exposição não intencional de dados. Os tópicos de exemplo incluem entrega incorreta de dados confidenciais, perda de um dispositivo portátil do usuário final ou publicação de dados para públicos não intencionais.

Treinar membros da força de trabalho sobre como reconhecer e relatar incidentes de segurança:

Treine os membros da força de trabalho para reconhecer um possível incidente e relatar esse incidente. 

Treinar a força de trabalho sobre como identificar e relatar se os ativos empresariais não têm atualizações de segurança:

Treine a força de trabalho para entender como verificar e relatar patches de software desatualizados ou falhas em processos e ferramentas automatizados. Parte deste treinamento deve incluir a notificação da equipe de TI sobre falhas em processos e ferramentas automatizados.

Treine a força de trabalho sobre os perigos de se conectar e transmitir dados corporativos em redes inseguras:

Treine os membros da força de trabalho sobre os perigos de se conectar e transmitir dados em redes inseguras para atividades corporativas. Se a empresa tiver trabalhadores remotos, o treinamento deverá incluir orientação para garantir que todos os usuários configurem com segurança sua infraestrutura de rede doméstica.

Realizar treinamento de conscientização e habilidades de segurança específico da função:

Conduza conscientização de segurança específica da função e treinamento de habilidades. Exemplos de implementações incluem cursos de administração de sistemas seguros para profissionais de TI, (OWASP ™ treinamento de prevenção e conscientização de vulnerabilidades para desenvolvedores de aplicações web e treinamento de conscientização de engenharia social avançada para funções de alto perfil.

Estabelecer e manter um inventário de provedores de serviço:

Estabelecer e manter um inventário de provedores de serviço. O inventário deve listar todos os provedores de serviços conhecidos, incluir classificações e designar um contato empresarial para cada provedor de serviços. Revise e atualize o inventário anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Estabelecer e manter uma política de gestão de provedores de serviços:

Estabelecer e manter uma política de gestão de provedores de serviços. Certifique-se de que a política lide com a classificação, o inventário, a avaliação, o monitoramento e a desativação dos provedores de serviços. Revise e atualize a política anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Classificar provedores de serviço:

Classifique os provedores de serviço. A consideração de classificação pode incluir uma ou mais características, como confidencialidade dos dados, volume de dados, requisitos de disponibilidade, regulamentações aplicáveis, risco inerente e risco mitigado. Atualize e revise as classificações anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Certifique-se de que os contratos do provedor de serviços incluam requisitos de segurança:

Certifique-se de que os contratos do provedor de serviços incluam requisitos de segurança. Os exemplos de requisitos podem incluir requisitos mínimos do programa de segurança, notificação e resposta de incidentes de segurança e/ou violação de dados, requisitos de criptografia de dados e compromissos de descarte de dados. Esses requisitos de segurança devem ser consistentes com a política de gestão do provedor de serviços da empresa. Revise os contratos do provedor de serviços anualmente para garantir que não faltem requisitos de segurança nos contratos.

Avaliar provedores de serviço:

Avalie os provedores de serviços de acordo com a política de gestão de provedores de serviços da empresa. O escopo de avaliação pode variar de acordo com as classificações e pode incluir a revisão de relatórios de avaliação padronizados, como Controle da organização de serviço 2 (SOC 2) e Certificação de conformidade (AoC) do Setor de cartões de pagamento (PCI), questionários personalizados ou outros adequadamente processos rigorosos. Reavaliar os provedores de serviço anualmente, no mínimo, ou com contratos novos e renovados.

Avaliar provedores de serviço:

Avalie os provedores de serviços de acordo com a política de gestão de provedores de serviços da empresa. O escopo de avaliação pode variar de acordo com as classificações e pode incluir a revisão de relatórios de avaliação padronizados, como Controle da organização de serviço 2 (SOC 2) e Certificação de conformidade (AoC) do Setor de cartões de pagamento (PCI), questionários personalizados ou outros adequadamente processos rigorosos. Reavaliar os provedores de serviço anualmente, no mínimo, ou com contratos novos e renovados.

Monitorar provedores de serviço:

Monitorar provedores de serviços consistentes com a política de gestão de provedores de serviços da empresa. O monitoramento pode incluir a reavaliação periódica da conformidade do provedor de serviços, o monitoramento de notas de versão do provedor de serviços e o monitoramento da web escura.

Desativar com segurança os provedores de serviço:

Desativar com segurança os provedores de serviço. Exemplos de considerações incluem a desativação da conta de serviço e do usuário, o encerramento de fluxos de dados e o descarte seguro de dados corporativos nos sistemas do provedor de serviços.

Estabeleça e mantenha um processo de desenvolvimento de aplicações seguro:

Estabeleça e mantenha um processo de desenvolvimento de aplicações seguro. No processo, aborde itens como: padrões de design de aplicações seguras, práticas de codificação seguras, treinamento de desenvolvedores, gestão de vulnerabilidades, segurança de código de terceiros e procedimentos de teste de segurança de aplicações. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Aplicar princípios de design seguro em arquiteturas de aplicações:

Aplicar princípios de design seguro em arquiteturas de aplicações. Os princípios de design seguro incluem o conceito de privilégio mínimo e a imposição de mediação para validar todas as operações que o usuário faz, promovendo o conceito de "nunca confie na entrada do usuário". Os exemplos incluem garantir que a verificação explícita de erros seja realizada e documentada para todas as entradas, incluindo tamanho, tipo de dados e intervalos ou formatos aceitáveis. O design seguro também significa minimizar a superfície de ataque à infraestrutura de aplicações, como desativar portas e serviços desprotegidos, remover programas e arquivos desnecessários e renomear ou remover contas padrão.

Aproveite módulos ou serviços aprovados para componentes de segurança de aplicações:

Aproveite módulos ou serviços aprovados para componentes de segurança de aplicações, como gerenciamento de identidade, criptografia e auditoria e registro em log. O uso de recursos da plataforma em funções de segurança críticas reduzirá a carga de trabalho dos desenvolvedores e minimizará a probabilidade de erros de design ou implementação. Os sistemas operacionais modernos fornecem mecanismos eficazes para identificação, autenticação e autorização e disponibilizam esses mecanismos para as aplicações. Use somente algoritmos de criptografia padronizados, aceitos atualmente e amplamente revisados. Os sistemas operacionais também fornecem mecanismos para criar e manter logs de auditoria seguros.

Implementar verificações de segurança no nível de código:

Aplique ferramentas de análise estática e dinâmica no ciclo de vida da aplicação para verificar se as práticas de codificação seguras estão sendo seguidas.

Realizar teste de invasão da aplicação:

Realizar testes de invasão da aplicação. Para aplicações críticas, o teste de invasão autenticado é mais adequado para encontrar vulnerabilidades de lógica de negócios do que a verificação de código e o teste de segurança automatizado.O teste de invasão depende da habilidade do testador de manipular manualmente uma aplicação como um usuário autenticado e não autenticado. 

Conduzir a modelagem de ameaças:

Conduzir modelagem de ameaça. A modelagem de ameaças é o processo de identificar e solucionar falhas de design de segurança da aplicação em um design, antes que o código seja criado. É realizado por indivíduos especialmente treinados que avaliam o design da aplicação e medem os riscos de segurança para cada ponto de entrada e nível de acesso. O objetivo é mapear a aplicação, a arquitetura e a infraestrutura de forma estruturada para entender seus pontos fracos.

Estabelecer e manter um processo para aceitar e solucionar vulnerabilidades de software:

Estabeleça e mantenha um processo para aceitar e lidar com relatórios de vulnerabilidades de software, incluindo o fornecimento de um meio para entidades externas relatarem. O processo deve incluir itens como: uma política de tratamento de vulnerabilidades que identifica o processo de geração de relatórios, a parte responsável por lidar com relatórios de vulnerabilidade e um processo para admissão, atribuição, correção e teste de correção. Como parte do processo, use um sistema de acompanhamento de vulnerabilidades que inclua classificações de severidade e métricas para medir o tempo de identificação, análise e correção de vulnerabilidades. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Executar análise de causa raiz em vulnerabilidades de segurança:

Realize análise de causa raiz em vulnerabilidades de segurança. Ao revisar vulnerabilidades, a análise de causa raiz é a tarefa de avaliar problemas subjacentes que criam vulnerabilidades no código e permite que as equipes de desenvolvimento vão além de apenas corrigir vulnerabilidades individuais conforme elas surgem.

Estabelecer e gerenciar um inventário de componentes de software de terceiros:

Estabeleça e gerencie um inventário atualizado de componentes de terceiros usados no desenvolvimento, geralmente chamados de “lista de materiais”, bem como componentes programados para uso futuro.Este inventário deve incluir todos os riscos que cada componente de terceiros possa representar.Avalie a lista pelo menos uma vez por mês para identificar mudanças ou atualizações nesses componentes e valide se o componente ainda é compatível. 

Use componentes de software de terceiros atualizados e confiáveis:

Use componentes de software de terceiros atualizados e confiáveis. Quando possível, escolha estruturas e bibliotecas estabelecidas e comprovadas que forneçam segurança adequada.Adquira esses componentes de fontes confiáveis ou avalie o software quanto a vulnerabilidades antes de usar.

Estabelecer e manter um sistema e processo de classificação de severidade para vulnerabilidades da aplicação:

Estabeleça e mantenha um sistema de classificação de severidade e um processo para vulnerabilidades de aplicação que facilite a priorização da ordem na qual as vulnerabilidades descobertas são corrigidas. Este processo inclui a definição de um nível mínimo de aceitabilidade de segurança para liberar código ou aplicações. As classificações de severidade oferecem uma maneira sistemática de triagem de vulnerabilidades que melhora a gestão de riscos e ajuda a garantir que os erros mais graves sejam corrigidos primeiro. Revisar e atualizar o sistema e o processo anualmente.

Use modelos de configuração de proteção padrão para infraestrutura de aplicações:

Use modelos de configuração de proteção padrão recomendados pelo setor para componentes de infraestrutura de aplicações. Isso inclui servidores subjacentes, bancos de dados e servidores Web e se aplica a contêineres de nuvem, componentes de plataforma como serviço (PaaS) e componentes de SaaS. Não permita que o software desenvolvido internamente prejudique a proteção da configuração.

Sistemas de produção e não produção separados:

Mantenha ambientes separados para sistemas de produção e não produção.

Treinar desenvolvedores em conceitos de segurança de aplicações e codificação segura:

Certifique-se de que toda a equipe de desenvolvimento de software receba treinamento sobre como escrever código seguro para seu ambiente de desenvolvimento e responsabilidades específicos. O treinamento pode incluir princípios gerais de segurança e práticas padrão de segurança de aplicações. Realize treinamento pelo menos uma vez por ano e projete de forma a promover a segurança na equipe de desenvolvimento e crie uma cultura de segurança entre os desenvolvedores.

Designar pessoal para gerenciar o tratamento de incidentes:

Designe uma pessoa-chave e pelo menos um backup, que gerenciará o processo de manipulação de incidentes da empresa. A equipe de gestão é responsável pela coordenação e documentação dos esforços de resposta e recuperação do incidente e pode consistir em funcionários internos da empresa, fornecedores terceirizados ou uma abordagem híbrida. Se estiver usando um fornecedor terceirizado, designe pelo menos uma pessoa interna à empresa para supervisionar qualquer trabalho de terceiros. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter informações de contato para relatar incidentes de segurança:

Estabeleça e mantenha informações de contato das partes que precisam ser informadas sobre incidentes de segurança. Os contatos podem incluir equipe interna, fornecedores terceirizados, agentes da lei, provedores de seguro cibernético, agências governamentais relevantes, parceiros do Centro de análise e compartilhamento de informações (ISAC) ou outras partes interessadas. Verifique os contatos anualmente para garantir que as informações estejam atualizadas.

Estabelecer e manter um processo empresarial para relatar incidentes:

Estabeleça e mantenha um processo empresarial para que a força de trabalho relate incidentes de segurança. O processo inclui o cronograma de relatórios, a equipe a quem se reportar, o mecanismo de relatório e as informações mínimas a serem relatadas. Certifique-se de que o processo esteja publicamente disponível para toda a força de trabalho. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter um processo de resposta do incidente:

Estabeleça e mantenha um processo de resposta do incidente que aborde funções e responsabilidades, requisitos de conformidade e um plano de comunicação. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Atribua as principais funções e responsabilidades:

Atribua as principais funções e responsabilidades para a resposta do incidente, incluindo a equipe jurídica, TI, segurança da informação, instalações, relações públicas, recursos humanos, respondentes do incidente e analistas, conforme aplicável. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Definir mecanismos para comunicação durante a resposta do incidente:

Determine quais mecanismos primários e secundários serão usados para se comunicar e relatar durante um incidente de segurança. Os mecanismos podem incluir chamadas telefônicas, e-mails ou cartas. Lembre-se de que determinados mecanismos, como e-mails, podem ser afetados durante um incidente de segurança. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Realizar exercícios de resposta a incidentes de rotina:

Planeje e conduza exercícios de resposta do incidente de rotina e cenários para o pessoal-chave envolvido no processo de resposta do incidente para se preparar para responder a incidentes do mundo real. Os exercícios precisam testar canais de comunicação, tomada de decisão e fluxos de trabalho. Realize testes anualmente, pelo menos.

Realizar análises pós-incidente:

Conduzir revisões pós-incidente. As revisões pós-incidente ajudam a evitar a recorrência do incidente por meio da identificação das lições aprendidas e da ação de acompanhamento.

Estabelecer e manter limites de incidente de segurança:

Estabelecer e manter limites de incidente de segurança, incluindo, no mínimo, a diferenciação entre um incidente e um evento. Os exemplos podem incluir: atividade anormal, vulnerabilidade de segurança, fraqueza de segurança, violação de dados, incidente de privacidade etc. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabeleça e mantenha um programa de testes de invasão:

Estabelecer e manter um programa de teste de invasão apropriado ao tamanho, complexidade e maturidade da empresa. As características do programa de teste de invasão incluem escopo, como rede, aplicação web, Interface de programação de aplicação (API), serviços hospedados e controles de instalações físicas; frequência; limitações, como horas aceitáveis e tipos de ataque excluídos; informações de ponto de contato; correção, por exemplo, como as descobertas serão roteadas internamente; e requisitos retrospectivos.

Execute testes de invasão externos periódicos:

Realize testes de invasão externos periódicos com base nos requisitos do programa, pelo menos uma vez por ano. O teste de invasão externa deve incluir reconhecimento empresarial e ambiental para detectar informações exploráveis. O teste de invasão requer habilidades e experiência especializadas e deve ser realizado por meio de uma parte qualificada. O teste pode ser caixa clara ou caixa opaca.

Corrigir descobertas do teste de invasão:

Corrija as descobertas do teste de invasão com base na política da empresa para escopo de correção e priorização.

Validar medidas de segurança:

Valide as medidas de segurança após cada teste de invasão. Se necessário, modifique os conjuntos de regras e as capacidades para detectar as técnicas usadas durante o teste.

Utilize uma ferramenta de descoberta ativa para identificar dispositivos conectados à rede da organização e atualizar o inventário de ativos de hardware.

Utilize uma ferramenta de descoberta passiva para identificar dispositivos conectados à rede da organização e atualizar automaticamente o inventário de ativos de hardware da organização.

Mantenha um inventário preciso e atualizado de todos os ativos de tecnologia com potencial para armazenar ou processar informações. Este inventário deve incluir todos os ativos de hardware, estejam eles conectados à rede da organização ou não.

Certifique-se de que o inventário de ativos de hardware registre o endereço da rede, o endereço do hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Utilize o controle de acesso no nível da porta, seguindo os padrões 802.1x, para controlar quais dispositivos podem ser autenticados na rede. O sistema de autenticação deve ser vinculado aos dados de inventário de ativos de hardware para garantir que somente dispositivos autorizados possam se conectar à rede.

Use certificados de cliente para autenticar ativos de hardware que se conectam à rede confiável da organização.

Mantenha uma lista atualizada de todos os softwares autorizados necessários na empresa para qualquer finalidade de negócios em qualquer sistema de negócios.

Certifique-se de que somente aplicações de software ou sistemas operacionais compatíveis atualmente com o fornecedor do software sejam adicionados ao inventário de software autorizado da organização. O software sem suporte deve ser marcado como sem suporte no sistema de inventário.

Utilize ferramentas de inventário de software em toda a organização para automatizar a documentação de todos os softwares nos sistemas de negócios.

O sistema de inventário de software deve rastrear o nome, a versão, o fornecedor e a data de instalação de todos os softwares, incluindo os sistemas operacionais autorizados pela organização.

O sistema de inventário de software deve estar vinculado ao inventário de ativos de hardware para que todos os dispositivos e softwares associados sejam rastreados a partir de um único local.

Utilize uma ferramenta de verificação de vulnerabilidades atualizada em conformidade com SCAP para verificar automaticamente todos os sistemas na rede semanalmente ou com mais frequência para identificar todas as possíveis vulnerabilidades nos sistemas da organização.

Execute a verificação de vulnerabilidades autenticada com agentes em execução localmente em cada sistema ou com scanners remotos que estejam configurados com direitos elevados no sistema que está sendo testado.

Compare regularmente os resultados das verificações de vulnerabilidade consecutivas para verificar se as vulnerabilidades foram corrigidas em tempo hábil.

Antes de implantar qualquer novo ativo, altere todas as senhas padrão para que tenham valores consistentes com as contas de nível administrativo.

Onde a autenticação multifator não for compatível (como administrador local, raiz ou contas de serviço), as contas usarão senhas exclusivas desse sistema.

Configure sistemas para emitir uma entrada de log e alertar quando uma conta for adicionada ou removida de qualquer grupo com privilégios administrativos atribuídos.

Configure sistemas para emitir uma entrada de log e alertar sobre logins malsucedidos em uma conta administrativa.

Certifique-se de que o registro em log local tenha sido habilitado em todos os sistemas e dispositivos de rede.

Habilite o registro em log do sistema para incluir informações detalhadas, como origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.

Certifique-se de que somente navegadores da web e clientes de e-mail totalmente compatíveis possam ser executados na organização, de preferência usando apenas a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Qualquer software AV de classe empresarial terá esse recurso. Por ter um AV gerenciado centralmente, você pode habilitar facilmente os requisitos individuais.

O AV é tão bom quanto suas assinaturas. Embora a detecção baseada em assinatura pura não seja mais viável, até mesmo os mecanismos baseados em anomalias precisam ser atualizados regularmente. Certifique-se de que as atualizações sejam distribuídas automaticamente e use ferramentas para verificar se as assinaturas estão realmente atualizadas.

Os guias de proteção DISA fornecem instruções passo a passo sobre como habilitar essas configurações e muito mais.

A maioria dos AVs tem esse recurso ativado por padrão, mas ainda é importante verificar se ele ainda está habilitado. O malware que entra por meio de um pendrive é um vetor de ataque viável para quase todas as organizações.

Pelo mesmo motivo pelo qual você não deseja verificá-lo, também não deseja que ele seja executado quando estiver montado. Esta é uma configuração bastante rápida de habilitar, e os guias de proteção CIS e DISA têm instruções passo a passo sobre como desabilitar a execução automática. Algumas ferramentas de SCM podem verificar rapidamente todos os endpoints em seu ambiente para garantir que esta configuração esteja desabilitada.

Execute verificações de porta automatizadas regularmente em todos os sistemas e alerte se portas não autorizadas forem detectadas em um sistema.

Compare todas as configurações de dispositivo de rede com as configurações de segurança aprovadas definidas para cada dispositivo de rede em uso e alerte quando qualquer desvio for descoberto.

Instale a versão estável mais recente de todas as atualizações relacionadas à segurança em todos os dispositivos de rede.

Implante sensores de Sistemas de detecção de intrusão (IDS) baseados em rede para procurar mecanismos de ataque incomuns e detectar o comprometimento desses sistemas em cada um dos limites de rede da organização.

Remova da rede dados confidenciais ou sistemas não acessados regularmente pela organização. Esses sistemas devem ser usados somente como sistemas autônomos (desconectados da rede) pela unidade de negócios que precisa usar o sistema de vez em quando ou totalmente virtualizados e desligados até que sejam necessários.

Forneça o treinamento aos funcionários para que eles estejam cientes dos riscos dos dados em unidades USB. Em seguida, forneça a eles as ferramentas para proteger os dados essenciais da sua organização.

Criptografe todas as informações confidenciais em trânsito.

Mantenha um inventário de pontos de acesso sem fio autorizados conectados à rede com fio.

Mantenha um inventário de cada um dos sistemas de autenticação da organização, incluindo aqueles localizados no local ou em um provedor de serviços remoto.

Criptografe ou hash com salt todas as credenciais de autenticação quando armazenadas.

Certifique-se de que todos os nomes de usuário da conta e credenciais de autenticação sejam transmitidos pelas redes usando canais criptografados.

Bloqueie automaticamente as sessões da estação de trabalho após um período padrão de inatividade.

Alerta quando os usuários se desviam do comportamento normal de login, como hora, local da estação de trabalho e duração.

Use somente algoritmos de criptografia padronizados e amplamente revisados.

Estabeleça um processo para aceitar e lidar com relatórios de vulnerabilidades de software, incluindo o fornecimento de um meio para que entidades externas entrem em contato com seu grupo de segurança.

Atribua cargos e deveres para lidar com incidentes de computador e rede a indivíduos específicos e garanta o acompanhamento e a documentação em todo o incidente até a resolução.

Designe a equipe de gestão, bem como backups, que apoiarão o processo de manipulação de incidentes, atuando em funções de tomada de decisão importantes.

Publique informações para todos os membros da força de trabalho sobre como relatar incidentes e anomalias de computador para a equipe de tratamento de incidentes. Essas informações devem ser incluídas nas atividades de rotina de conscientização dos funcionários.

Defina uma “política de segurança da informação” que seja aprovada pela gestão e que defina a abordagem da organização para gerenciar seus objetivos de segurança da informação. A política de segurança da informação é compatível com políticas específicas de tópico, que exigem ainda mais a implementação de controles de segurança da informação para incluir: controle de acesso; classificação de informações (e manipulação); segurança física e ambiental; backup; transferência de informações; proteção contra malware; gestão de vulnerabilidades técnicas; controles criptográficos; segurança de comunicações; privacidade e proteção de informações pessoalmente identificáveis; relacionamentos com fornecedores e tópicos orientados ao usuário final, como: 1) uso aceitável de ativos; 2) limpar mesa e limpar tela; 3) transferência de informações; 4) dispositivos móveis e teletrabalho; 5) restrições de instalações e uso de software.

Certifique-se de que as responsabilidades pela proteção de ativos individuais sejam identificadas no inventário de ativos. Certifique-se de que as funções e responsabilidades para o desenvolvimento e a implementação da segurança da informação estejam claramente definidas.

Utilize um software de criptografia de disco inteiro aprovado para criptografar o disco rígido de todos os dispositivos móveis.

Imponha políticas de acesso remoto para funcionários e prestadores de serviços.

Certifique-se de que a verificação de antecedentes seja realizada para todos os funcionários e prestadores de serviços antes de conceder acesso aos ativos da empresa.

Certifique-se de que todos os funcionários ou prestadores de serviços recém-contratados assinem e concordem com os termos e condições de trabalho, incluindo sua responsabilidade pela segurança da informação.

Certifique-se de que o inventário de ativos de hardware registre o endereço da rede, o endereço do hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Certifique-se de que o inventário de ativos de hardware registre o endereço da rede, o endereço do hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Certifique-se de que os funcionários e prestadores de serviços estejam cientes dos requisitos de segurança da informação dos ativos das organizações associados às informações e às instalações e recursos de processamento de informações. Eles devem ser responsáveis pelo uso de quaisquer recursos de processamento de informações e por qualquer uso realizado sob sua responsabilidade.

Use certificados de cliente para autenticar ativos de hardware que se conectam à rede confiável da organização.

Exija que todos os usuários tenham acesso de login remoto à rede da organização para criptografar dados em trânsito e use a autenticação multifator.

Onde a autenticação multifator não for compatível (como administrador local, raiz ou contas de serviço), as contas usarão senhas exclusivas desse sistema.

Certifique-se de que a política em torno da criptografia exista e seja aplicada, implementada e imposta de acordo com os requisitos de classificação de dados.

Certifique-se de que a gestão de chaves de criptografia seja feita seguindo uma política e um procedimento formais para todo o ciclo de vida da chave.

Certifique-se de que a política de mesa limpa seja adaptada por funcionários e prestadores de serviços.

Certifique-se de que somente navegadores da web e clientes de e-mail totalmente compatíveis possam ser executados na organização, de preferência usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Certifique-se de que somente navegadores da web e clientes de e-mail totalmente compatíveis possam ser executados na organização, de preferência usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Certifique-se de que o registro em log local tenha sido habilitado em todos os sistemas e dispositivos de rede.

Certifique-se de que os logs estejam protegidos com segurança contra acesso não autorizado.

Imponha registro em log de auditoria detalhado para acesso a dados confidenciais ou mudanças em dados confidenciais (utilizando ferramentas como File Integrity Monitoring ou Security Information and Event Monitoring).

Certifique-se de que políticas, procedimentos e controles de transferência formais estejam em vigor para proteger a transferência de informações por meio do uso de todos os tipos de recursos de comunicação.

Certifique-se de que os requisitos relacionados à segurança da informação estejam incluídos nos requisitos para novos sistemas da informação ou melhorias nos sistemas da informação existentes.

Certifique-se de que as aplicações essenciais para os negócios sejam revisadas e testadas para garantir que não haja nenhum impacto adverso nas operações organizacionais ou na segurança sempre que houver mudanças nas plataformas operacionais.

Certifique-se de que as modificações nos pacotes de software sejam desencorajadas ou limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas.

Certifique-se de que os testes de segurança, como revisões de código seguro e verificação de vulnerabilidades, sejam realizados durante o ciclo de vida de desenvolvimento. Certifique-se de que as vulnerabilidades identificadas sejam documentadas e que a correção seja realizada.

Certifique-se de que o teste de aceitação do sistema inclua o teste dos requisitos de segurança da informação e a adesão às práticas seguras de desenvolvimento do sistema.

Certifique-se de que o teste de aceitação do sistema inclua o teste dos requisitos de segurança da informação e a adesão às práticas seguras de desenvolvimento do sistema.

Certifique-se de que os controles de segurança da informação sejam abordados e resolvidos com o fornecedor antes de realizar negócios ou conceder acesso ao fornecedor aos ativos.

Certifique-se de que a avaliação de risco seja realizada antes de fazer negócios e conceder aos fornecedores e fornecedores acesso a ativos e controles e requisitos de segurança acordados e documentados no acordo de fornecedores/fornecedores.

Certifique-se de que o fornecedor esteja monitorando e revisando regularmente para garantir que os termos e condições de segurança da informação dos acordos estejam sendo respeitados e que os incidentes e problemas de segurança da informação sejam gerenciados corretamente.

Certifique-se de que a avaliação de risco de terceiros seja realizada sempre que houver mudanças na provisão de serviços. Certifique-se de que as mudanças na provisão de serviços por fornecedores, incluindo a manutenção e a melhoria das políticas, procedimentos e controles de segurança da informação existentes, sejam gerenciadas.

Certifique-se de que haja um programa formal de Gestão de incidentes e que todos os funcionários e terceiros sejam treinados sobre como reconhecer e relatar incidentes de segurança.

Certifique-se de que haja uma gestão de eventos de segurança da informação formal para incluir eventos de segurança acordados e escala de classificação de incidentes para geração de relatórios e escalação. Certifique-se de que o esquema de classificação de ameaça e risco esteja documentado. Certifique-se de que as notificações de resposta do incidente sejam mantidas. Certifique-se de que os limites de impacto a serem usados na categorização de incidentes sejam documentados.

Certifique-se de que os incidentes de segurança da informação sejam respondidos e gerenciados de acordo com os procedimentos documentados.

Certifique-se de que os procedimentos de monitoramento de incidentes estejam incluídos no programa de Gestão de incidentes para documentar os incidentes e garantir que os eventos de segurança sejam analisados periodicamente para reduzir futuros incidentes.

Certifique-se de que a segurança da informação e a continuidade da gestão de segurança da informação sejam planejadas e incluídas no plano de continuidade de negócios ou no plano de recuperação de desastre.

Certifique-se de que a continuidade dos negócios ou o plano de recuperação de desastre estejam formalmente documentados.

Certifique-se de que o plano de continuidade de negócios ou de recuperação de desastre seja um exercício anual para validar que o controle de segurança adequado é válido e eficaz durante a situação adversa.

Certifique-se de que os componentes de failover e recuperação funcionem conforme o esperado.

Certifique-se de que os registros e os dados estejam protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos da legislação, regulamentares, contratuais e de negócios.

Certifique-se de que a privacidade e a proteção das informações de identificação pessoal sejam protegidas e tratadas de acordo com a legislação e a regulamentação quando aplicável.

Certifique-se de que o teste da configuração de sistemas no escopo em relação aos requisitos regulatórios e de conformidade seja realizado regularmente. Certifique-se de que os padrões de configuração de linha de base dos sistemas sejam documentados e baseados nas práticas recomendadas do setor.

Certifique-se de que o processo de rescisão seja formalizado para incluir o retorno de todos os ativos físicos e eletrônicos emitidos anteriormente de propriedade da organização ou confiados a ela.

• Perfis de RH [sn_hr_core_profile]
• Ativo [alm_asset]

Certifique-se de que os ativos de software sejam gerenciados e atualizados regularmente.

• Software Asset Management Core
• Núcleo de Software Asset Management Professional

• Instalação de Software [cmdb_sam_sw_install]
• Modelos de software [cmdb_software_product_model]

Utilize um processo de classificação de risco para priorizar a correção de vulnerabilidades descobertas.

Desinstale ou desabilite plug-ins de cliente de e-mail ou navegador não autorizados ou aplicações adicionais.

• Software Asset Management Core
• Núcleo de Software Asset Management Professional

• Instalação de Software [cmdb_sam_sw_install]
• Modelos de software [cmdb_software_product_model]

Estabeleça práticas de codificação seguras apropriadas para a linguagem de programação e o ambiente de desenvolvimento que estão sendo usados.

Certifique-se de que haja planos de resposta do incidente por escrito que definam as funções do pessoal, bem como as fases de tratamento/gestão de incidentes.