Estabelecer e manter o inventário detalhado de ativos empresariais:

Estabelecer e manter um inventário preciso, detalhado e atualizado de todos os ativos empresariais com potencial para armazenar ou processar dados, incluindo: dispositivos de usuário final (incluindo portáteis e móveis), dispositivos de rede, não computacionais/IoT dispositivos e servidores. Certifique-se de que o inventário registre o endereço da rede (se estático), o endereço do hardware, o nome da máquina, o proprietário do ativo de dados, o departamento de cada ativo e se o ativo foi aprovado para se conectar à rede. Para dispositivos móveis de usuário final, as ferramentas do tipo MDM podem oferecer suporte a esse processo, quando apropriado. Este inventário inclui ativos conectados à infraestrutura física, virtualmente, remotamente e aqueles em ambientes de nuvem. Além disso, inclui ativos que são conectados regularmente à infraestrutura de rede da empresa, mesmo que não estejam sob o controle da empresa. Revise e atualize o inventário de todos os ativos empresariais semestralmente ou com mais frequência.

Resolver ativos não autorizados:

Certifique-se de que exista um processo para lidar com ativos não autorizados semanalmente. A empresa pode optar por remover o ativo da rede, negar que o ativo se conecte remotamente à rede ou colocá-lo em quarentena.

Utilize uma Ferramenta de descoberta ativa:

Utilize uma ferramenta de descoberta ativa para identificar ativos conectados à rede da empresa. Configure a ferramenta de descoberta ativa para executar diariamente ou com mais frequência.

Use o registro em log do Protocolo de configuração de host dinâmico (DHCP) para atualizar o inventário de ativos empresariais:

Use o registro em log DHCP em todos os servidores DHCP ou ferramentas de gerenciamento de endereço de Protocolo de Internet (IP) para atualizar o inventário de ativos da empresa. Revise e use logs para atualizar o inventário de ativos da empresa semanalmente ou com mais frequência.

Use uma Ferramenta de descoberta de ativos passivos:

Use uma ferramenta de descoberta passiva para identificar ativos conectados à rede da empresa. Revise e use verificações para atualizar o inventário de ativos da empresa pelo menos uma vez por semana ou com mais frequência.

Estabelecer e manter um inventário de software:

Estabelecer e manter um inventário detalhado de todos os softwares licenciados instalados em ativos empresariais. O inventário de software deve documentar o título, o fornecedor, a data de instalação/uso inicial e a finalidade comercial de cada entrada; quando apropriado, inclua o URL (Uniform Resource Locator), a(s) loja(s) de aplicações, a(s) versão(ões), o mecanismo de implantação e a data de desativação. Revise e atualize o inventário de software semestralmente ou com mais frequência.

Certifique-se de que o software autorizado seja compatível no momento

Certifique-se de que somente o software compatível atualmente seja designado como autorizado no inventário de software para ativos empresariais. Se o software não for compatível, mas necessário para o cumprimento da missão da empresa, documente uma exceção detalhando os controles de mitigação e a aceitação de risco residual. Para qualquer software incompatível sem uma documentação de exceção, designe como não autorizado. Revise a lista de software para verificar o suporte de software pelo menos uma vez por mês ou com mais frequência.

Resolver software não autorizado:

Certifique-se de que o software não autorizado seja removido do uso em ativos empresariais ou receba uma exceção documentada. Revise mensalmente ou com mais frequência.

Utilize as Ferramentas automatizadas de inventário de software:

Utilize ferramentas de inventário de software, quando possível, em toda a empresa para automatizar a descoberta e a documentação do software instalado.

Software autorizado da lista de permissões:

Use controles técnicos, como lista de permissões de aplicações, para garantir que somente software autorizado possa ser executado ou acessado. Reavaliar semestralmente ou com mais frequência.

Bibliotecas autorizadas da lista de permissões:

Use controles técnicos para garantir que somente bibliotecas de software autorizadas, como arquivos .dll, .ocx, .so etc., tenham permissão para carregar em um processo do sistema. Bloqueie o carregamento de bibliotecas não autorizadas em um processo do sistema. Reavaliar semestralmente ou com mais frequência.

Scripts autorizados da lista de permissões:

Use controles técnicos, como assinaturas digitais e controle de versão, para garantir que somente scripts autorizados, como arquivos .ps1, .py etc. específicos, tenham permissão para ser executados. Impede a execução de scripts não autorizados. Reavaliar semestralmente ou com mais frequência.

Estabelecer e manter um processo de gestão de dados:

Estabelecer e manter um processo de gestão de dados. No processo, aborde a confidencialidade dos dados, o proprietário dos dados, a manipulação de dados, os limites de retenção de dados e os requisitos de descarte, com base nos padrões de confidencialidade e retenção da empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Criptografar dados confidenciais em trânsito:

Criptografe dados confidenciais em trânsito. Exemplos de implementações podem incluir Segurança da camada de transporte (TLS) e Open Secure Shell (OpenSSH).

Criptografar dados confidenciais em repouso:

Criptografe dados confidenciais em repouso em servidores, aplicações e bancos de dados que contêm dados confidenciais. A criptografia de camada de armazenamento, também conhecida como criptografia do lado do servidor, atende ao requisito mínimo desta proteção. Métodos de criptografia adicionais podem incluir criptografia na camada da aplicação, também conhecida como criptografia do lado do cliente, em que o acesso aos dispositivos de armazenamento de dados não permite o acesso aos dados em texto sem formatação.

Processamento e armazenamento de dados de segmento com base na confidencialidade:

Segmente o processamento e o armazenamento de dados com base na confidencialidade dos dados. Não processe dados confidenciais em ativos empresariais destinados a dados de confidencialidade mais baixa.

Implantar uma solução de prevenção de perda de dados:

Implementar uma ferramenta automatizada, como uma ferramenta de prevenção de perda de dados (DLP) baseada em host, para identificar todos os dados confidenciais armazenados, processados ou transmitidos por meio de ativos empresariais, incluindo aqueles localizados no local ou em um provedor de serviços remoto, e atualizar os dados confidenciais da empresa inventário.

Acesso a dados confidenciais de log:

Registre o acesso a dados confidenciais, incluindo modificação e descarte.

Estabelecer e manter um inventário de dados:

Estabelecer e manter um inventário de dados, com base no processo de gestão de dados da empresa. Dados confidenciais de inventário, no mínimo. Revise e atualize o inventário anualmente, no mínimo, com prioridade para dados confidenciais.

Configurar listas de controle de acesso a dados:

Configure listas de controle de acesso a dados com base na necessidade de conhecimento de um usuário. Aplique listas de controle de acesso a dados, também conhecidas como permissões de acesso, a sistemas de arquivos, bancos de dados e aplicações locais e remotos.

Impor retenção de dados:

Retenha os dados de acordo com o processo de gestão de dados da empresa. A retenção de dados deve incluir linhas do tempo mínimas e máximas.

Descarte de dados com segurança:

Descarte os dados com segurança, conforme descrito no processo de gestão de dados da empresa. Certifique-se de que o processo e o método de descarte sejam proporcionais à confidencialidade dos dados.

Criptografar dados em dispositivos de usuário final:

Criptografe dados em dispositivos de usuário final que contêm dados confidenciais. Exemplos de implementações podem incluir Windows BitLocker™, Apple FileVault™, Linux dm-crypt™.

Estabelecer e manter um esquema de classificação de dados:

Estabelecer e manter um esquema geral de classificação de dados para a empresa. As empresas podem usar rótulos, como "Confidencial", "Confidencial" e "Público" e classificar seus dados de acordo com esses rótulos. Revise e atualize o esquema de classificação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Fluxos de dados do documento:

Fluxos de dados do documento. A documentação do fluxo de dados inclui fluxos de dados do provedor de serviços e deve ser baseada no processo de gestão de dados da empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Criptografar dados em mídia removível:

Criptografe dados em mídia removível.

Estabelecer e manter um processo de configuração seguro:

Estabeleça e mantenha um processo de configuração seguro para ativos empresariais (dispositivos de usuário final, incluindo dispositivos portáteis e móveis; dispositivos não informáticos/IoT; e servidores) e software (sistemas operacionais e aplicações).Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Impor bloqueio automático de dispositivo em dispositivos portáteis de usuário final:

Imponha o bloqueio automático de dispositivos seguindo um limite predeterminado de tentativas de autenticação local com falha em dispositivos portáteis de usuário final, quando houver suporte. Para laptops, não permita mais de 20 tentativas de autenticação com falha; para tablets e smartphones, não mais de 10 tentativas de autenticação com falha. Exemplos de implementações incluem Microsoft Bloqueio de dispositivo InTune e Apple Perfil de configuração maxFailedAttempts.

Impor a capacidade de limpeza remota em dispositivos portáteis de usuário final:

Limpe remotamente os dados empresariais de dispositivos portáteis de usuário final de propriedade da empresa quando considerado apropriado, como dispositivos perdidos ou roubados, ou quando um indivíduo não oferece mais suporte à empresa.

Espaços empresariais separados em dispositivos móveis de usuário final:

Certifique-se de que espaços empresariais separados sejam usados em dispositivos móveis de usuário final, quando compatíveis. Exemplos de implementações incluem o uso de um perfil de configuração Apple ou um perfil de trabalho Android para separar aplicações e dados empresariais de aplicações e dados pessoais.

Estabelecer e manter um processo de configuração seguro para infraestrutura de rede:

Estabelecer e manter um processo de configuração seguro para dispositivos de rede. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Configure o bloqueio automático de sessão em ativos empresariais:

Configure o bloqueio automático de sessão em ativos empresariais após um período definido de inatividade. Para sistemas operacionais de uso geral, o período não deve exceder 15 minutos. Para dispositivos móveis de usuário final, o período não deve exceder 2 minutos.

Implementar e gerenciar um firewall nos servidores:

Implementar e gerenciar um firewall em servidores, quando houver suporte. Exemplos de implementações incluem um firewall virtual, firewall do sistema operacional ou um agente de firewall de terceiros.

Implementar e gerenciar um firewall em dispositivos de usuário final:

Implemente e gerencie um firewall baseado em host ou uma ferramenta de filtragem de portas em dispositivos de usuário final, com uma regra de negação padrão que elimina todo o tráfego, exceto os serviços e portas que são explicitamente permitidos.

Gerenciar com segurança ativos e software empresariais:

Gerencie com segurança ativos e software empresariais. As implementações de exemplo incluem o gerenciamento da configuração por meio de infraestrutura controlada por versão como código e o acesso a interfaces administrativas sobre protocolos de rede seguros, como Secure Shell (SSH) e Hypertext Transfer Protocol Secure (HTTPS). Não use protocolos de gerenciamento inseguros, como Telnet (rede de teletipo) e HTTP, a menos que seja operacionalmente essencial.

Gerenciar contas padrão em ativos e software empresariais:

Gerencie contas padrão em ativos e software empresariais, como raiz, administrador e outras contas de fornecedor pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.

Desinstale ou desabilite serviços desnecessários em ativos e software empresariais:

Desinstale ou desabilite serviços desnecessários em ativos e software empresariais, como um serviço de compartilhamento de arquivos não utilizado, módulo de aplicação web ou função de serviço.

Configure servidores DNS confiáveis em ativos empresariais:

Configure servidores DNS confiáveis em ativos empresariais. Exemplos de implementações incluem: configuração de ativos para usar servidores DNS controlados pela empresa e/ou servidores DNS respeitáveis acessíveis externamente.

Estabelecer e manter um inventário de contas:

Estabelecer e manter um inventário de todas as contas gerenciadas na empresa. O inventário deve incluir contas de usuário e administrador. O inventário, no mínimo, deve conter o nome da pessoa, nome de usuário, datas de início/término e departamento. Valide se todas as contas ativas estão autorizadas, em uma programação recorrente pelo menos por trimestre ou com mais frequência.

Usar senhas exclusivas:

Use senhas exclusivas para todos os ativos empresariais. A implementação da prática recomendada inclui, no mínimo, uma senha de 8 caracteres para contas que usam MFA e uma senha de 14 caracteres para contas que não usam MFA.

Desabilitar contas inativas:

Exclua ou desabilite contas inativas após um período de 45 dias de inatividade, quando houver suporte.

Restringir privilégios de administrador a contas de administrador dedicadas:

Restrinja os privilégios de administrador a contas de administrador dedicadas em ativos empresariais. Conduza atividades de computação em geral, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta primária não privilegiada do usuário.

Estabelecer e manter um inventário de contas de serviço:

Estabelecer e manter um inventário de contas de serviço. O inventário, no mínimo, deve conter o proprietário do departamento, a data de revisão e a finalidade. Realize revisões de conta de serviço para validar se todas as contas ativas estão autorizadas, em uma programação recorrente pelo menos uma vez por trimestre ou com mais frequência.

Centralize a gestão de contas:

Centralize a gestão de contas por meio de um diretório ou serviço de identidade.

Estabeleça um processo de concessão de acesso:

Estabeleça e siga um processo, de preferência automatizado, para conceder acesso a ativos empresariais mediante novas contratações, concessão de direitos ou mudança de função de um usuário.

Estabeleça um processo de revogação de acesso:

Estabeleça e siga um processo, de preferência automatizado, para revogar o acesso a ativos empresariais, desativando contas imediatamente após o término, revogação de direitos ou mudança de função de um usuário. Desabilitar contas, em vez de excluir contas, pode ser necessário para preservar as trilhas de auditoria.

Exigir MFA para aplicações expostas externamente:

Exigir que todas as aplicações corporativas ou de terceiros expostas externamente apliquem a MFA, quando compatível. Impor a MFA por meio de um serviço de diretório ou provedor de SSO é uma implementação satisfatória desta proteção.

Exigir MFA para acesso remoto à rede:

Exige MFA para acesso remoto à rede.

Exigir MFA para acesso administrativo:

Exige MFA para todas as contas de acesso administrativo, quando compatíveis, em todos os ativos empresariais, gerenciados no local ou por meio de um provedor terceirizado.

Estabelecer e manter um inventário de sistemas de autenticação e autorização:

Estabeleça e mantenha um inventário dos sistemas de autenticação e autorização da empresa, incluindo aqueles hospedados no local ou em um provedor de serviço remoto. Revise e atualize o inventário, no mínimo, anualmente ou com mais frequência.

Centralize o controle de acesso:

Centralize o controle de acesso para todos os ativos empresariais por meio de um serviço de diretório ou provedor de SSO, quando houver suporte.

Definir e manter o controle de acesso baseado em função:

Defina e mantenha o controle de acesso baseado em função, determinando e documentando os direitos de acesso necessários para que cada função na empresa execute com sucesso os deveres atribuídos. Execute revisões de controle de acesso de ativos empresariais para validar que todos os privilégios estão autorizados, em uma programação recorrente pelo menos uma vez por ano ou com mais frequência.

Estabelecer e manter um processo de gestão de vulnerabilidades:

Estabelecer e manter um processo de gestão de vulnerabilidades documentado para ativos empresariais. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter um processo de correção:

Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.

Executar a Gestão automatizada de patches do sistema operacional:

Execute atualizações do sistema operacional em ativos empresariais por meio da gestão automatizada de patches mensalmente ou com mais frequência.

Executar a Gestão automatizada de patches de aplicações:

Execute atualizações de aplicações em ativos empresariais por meio da gestão automatizada de patches mensalmente ou com mais frequência.

Executar verificações de vulnerabilidade automatizadas de ativos empresariais internos:

Execute verificações de vulnerabilidade automatizadas de ativos internos da empresa trimestralmente ou com mais frequência. Realize verificações autenticadas e não autenticadas, usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP.

Executar verificações de vulnerabilidade automatizadas de ativos do Enterprise expostos externamente:

Execute verificações de vulnerabilidade automatizadas de ativos empresariais expostos externamente usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP. Execute verificações mensais ou com mais frequência.

Corrigir vulnerabilidades detectadas:

Corrija vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.

Estabelecer e manter um processo de gestão de logs de auditoria:

Estabeleça e mantenha um processo de gestão de logs de auditoria que define os requisitos de registro em log da empresa. No mínimo, aborde a coleta, a revisão e a retenção de logs de auditoria para ativos empresariais. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Reter logs de auditoria:

Mantenha os logs de auditoria em ativos empresariais por no mínimo 90 dias.

Conduzir revisões do log de auditoria:

Realize revisões de logs de auditoria para detectar anomalias ou eventos anormais que possam indicar uma possível ameaça. Realize revisões semanalmente ou com mais frequência.

Coletar logs do provedor de serviço:

Colete logs do provedor de serviço, quando houver suporte. Exemplos de implementações incluem a coleta de eventos de autenticação e autorização, eventos de criação e descarte de dados e eventos de gerenciamento de usuários.

Coletar logs de auditoria:

Coletar logs de auditoria. Certifique-se de que o registro em log, de acordo com o processo de gestão de logs de auditoria da empresa, tenha sido habilitado em todos os ativos empresariais.

Garantir o armazenamento adequado do log de auditoria:

Certifique-se de que os destinos de registro em log mantenham o armazenamento adequado para cumprir o processo de gestão de logs de auditoria da empresa.

Padronizar sincronização de tempo:

Padronizar a sincronização de tempo. Configure pelo menos duas origens de tempo sincronizadas em ativos empresariais, onde houver suporte.

Coletar logs de auditoria detalhados:

Configure o registro em log de auditoria detalhado para ativos empresariais que contêm dados confidenciais. Inclua origem do evento, data, nome de usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis que podem ajudar em uma investigação forense.

Coletar logs de auditoria de consulta de DNS:

Colete logs de auditoria de consulta de DNS em ativos empresariais, quando apropriado e compatível.

Coletar logs de auditoria de solicitação de URL:

Colete logs de auditoria de solicitação de URL em ativos empresariais, quando apropriado e compatível.

Coletar logs de auditoria de linha de comando:

Colete logs de auditoria de linha de comando. As implementações de exemplo incluem a coleta de logs de auditoria do PowerShell™, BSH™e de terminais administrativos remotos.

Centralizar logs de auditoria:

Centralize, na medida do possível, a coleta e a retenção de logs de auditoria em todos os ativos empresariais.

Certifique-se de usar somente navegadores e clientes de e-mail totalmente compatíveis:

Certifique-se de que somente navegadores e clientes de e-mail totalmente compatíveis tenham permissão para ser executados na empresa, usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Use os serviços de filtragem de DNS:

Use os serviços de filtragem de DNS em todos os ativos empresariais para bloquear o acesso a domínios mal-intencionados conhecidos.

Manter e impor filtros de URL baseados em rede:

Imponha e atualize filtros de URL baseados em rede para limitar a conexão de um ativo empresarial a sites potencialmente mal-intencionados ou não aprovados. Exemplos de implementações incluem filtragem baseada em categoria, filtragem baseada em reputação ou por meio do uso de listas de bloqueios. Impor filtros para todos os ativos empresariais.

Restringir navegadores desnecessários ou não autorizados e extensões do cliente de e-mail:

Restrinja, seja por meio da desinstalação ou da desativação, qualquer navegador não autorizado ou desnecessário ou plug-ins, extensões e aplicações de complemento do cliente de e-mail.

Implementar DMARC:

Para diminuir a chance de e-mails falsificados ou modificados de domínios válidos, implemente a política e a verificação DMARC, começando com a implementação da Estrutura de política do remetente (SPF) e dos padrões DomainKeys Identified Mail (DKIM).

Bloquear tipos de arquivo desnecessários:

Bloqueie tipos de arquivo desnecessários que tentem entrar no gateway de e-mail da empresa.

Implantar e manter proteções antimalware do servidor de e-mail:

Implante e mantenha proteções antimalware do servidor de e-mail, como verificação de anexos e/ou área restrita.

Implantar e manter o software antimalware:

Implante e mantenha o software antimalware em todos os ativos empresariais.

Configure atualizações automáticas de assinatura antimalware:

Configure atualizações automáticas para arquivos de assinatura antimalware em todos os ativos empresariais.

Desabilitar execução automática e reprodução automática para mídia removível:

Desabilite a funcionalidade de execução automática e execução automática para mídia removível.

Configure a verificação antimalware automática de mídia removível:

Configure o software antimalware para verificar automaticamente a mídia removível.

Habilitar recursos antiexploração:

Habilite recursos antiexploração em ativos e software empresariais, sempre que possível, como Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG) ou Apple System Integrity Protection (SIP) e porteiro™.

Gerenciar software antimalware de forma centralizada:

Gerencie de forma centralizada o software antimalware.

Usar software antimalware baseado em comportamento:

Use software antimalware baseado em comportamento.

Estabelecer e manter um processo de recuperação de dados :

Estabelecer e manter um processo de recuperação de dados. No processo, aborde o escopo das atividades de recuperação de dados, a priorização de recuperação e a segurança dos dados de backup. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Executar backups automatizados :

Execute backups automatizados de ativos empresariais no escopo. Execute backups semanalmente ou com mais frequência, com base na confidencialidade dos dados.

Proteger dados de recuperação:

Proteja os dados de recuperação com controles equivalentes aos dados originais. Criptografia de referência ou separação de dados, com base em requisitos.

Estabelecer e manter uma instância isolada de dados de recuperação:

Estabeleça e mantenha uma instância isolada de dados de recuperação. Exemplos de implementações incluem destinos de backup de controle de versão por meio de sistemas ou serviços off-line, na nuvem ou fora do local.

Testar recuperação de dados:

Teste a recuperação de backup trimestralmente, ou com mais frequência, para obter uma amostra de ativos empresariais no escopo.

Certifique-se de que a infraestrutura de rede esteja atualizada:

Certifique-se de que a infraestrutura de rede seja mantida atualizada. As implementações de exemplo incluem a execução da versão estável mais recente do software e/ou o uso de ofertas de rede como serviço (NaaS) atualmente compatíveis. Revise as versões do software mensalmente, ou com mais frequência, para verificar o suporte do software.

Estabelecer e manter uma arquitetura de rede segura:

Estabelecer e manter uma arquitetura de rede segura. Uma arquitetura de rede segura deve abordar a segmentação, o privilégio mínimo e a disponibilidade, no mínimo.

Gerenciar com segurança a infraestrutura de rede:

Gerencie com segurança a infraestrutura de rede. Exemplos de implementações incluem infraestrutura controlada por versão como código e o uso de protocolos de rede seguros, como SSH e HTTPS.

Estabelecer e manter diagramas de arquitetura:

Estabelecer e manter diagrama(s) de arquitetura e/ou outra documentação do sistema de rede. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Centralize a autenticação, autorização e auditoria de rede (AAA):

Centralize a rede AAA.

Uso de gestão de rede segura e protocolos de comunicação:

Use protocolos de comunicação e gerenciamento de rede seguros (por exemplo, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise ou superior).

Certifique-se de que os dispositivos remotos utilizem uma VPN e estejam se conectando à infraestrutura AAA de uma empresa:

Exija que os usuários se autentiquem nos serviços de autenticação e VPN gerenciados pela empresa antes de acessar recursos da empresa em dispositivos de usuário final.

Estabelecer e manter recursos de computação dedicados para todo o trabalho administrativo:

Estabeleça e mantenha recursos de computação dedicados, separados física ou logicamente, para todas as tarefas administrativas ou tarefas que exijam acesso administrativo. Os recursos de computação devem ser segmentados da rede primária da empresa e não devem ter permissão para acessar a internet.

Centralize o alerta de eventos de segurança:

Centralize o alerta de eventos de segurança em ativos empresariais para correlação e análise de logs. A implementação da prática recomendada requer o uso de um SIEM, que inclui alertas de correlação de eventos definidos pelo fornecedor. Uma plataforma de análise de log configurada com alertas de correlação relevantes para a segurança também atende a esta proteção.

Executar filtragem de camada de aplicação:

Execute a filtragem de camada de aplicação. Exemplos de implementações incluem um proxy de filtragem, firewall de camada de aplicação ou gateway.

Ajustar limites de alerta de eventos de segurança:

Ajuste os limites de alerta de evento de segurança mensalmente ou com mais frequência.

Implantar uma solução de detecção de intrusão baseada em host:

Implante uma solução de detecção de intrusão baseada em host em ativos empresariais, quando apropriado e/ou compatível.

Implantar uma solução de detecção de intrusão na rede:

Implante uma solução de detecção de intrusão de rede em ativos empresariais, quando apropriado. Exemplos de implementações incluem o uso de um sistema de detecção de intrusão de rede (NIDS) ou serviço de provedor de serviço de nuvem equivalente (CSP).

Executar filtragem de tráfego entre segmentos de rede:

Execute a filtragem de tráfego entre segmentos de rede, quando apropriado.

Gerenciar controle de acesso para ativos remotos:

Gerencie o controle de acesso para ativos que se conectam remotamente a recursos empresariais. Determine a quantidade de acesso aos recursos da empresa com base em: software antimalware atualizado instalado; conformidade de configuração com o processo de configuração segura da empresa; e garantir que o sistema operacional e as aplicações estejam atualizados.

Coletar logs de fluxo de tráfego de rede:

Colete logs de fluxo de tráfego de rede e/ou tráfego de rede para revisar e alertar sobre os dispositivos de rede.

Implantar uma solução de prevenção de invasão baseada em host:

Implante uma solução de prevenção de intrusão baseada em host em ativos empresariais, quando apropriado e/ou compatível. Exemplos de implementações incluem o uso de um cliente de EDR (Endpoint Detection and Response, detecção e resposta de endpoint) ou um agente IPS baseado em host.

Implantar uma solução de prevenção de intrusão de rede:

Implante uma solução de prevenção de intrusão de rede, quando apropriado. Exemplos de implementações incluem o uso de um sistema de prevenção de intrusão de rede (NIPS) ou serviço CSP equivalente.

Implantar o Controle de acesso no nível da porta:

Implante o controle de acesso no nível da porta. O controle de acesso no nível da porta utiliza 802.1x ou protocolos de controle de acesso à rede semelhantes, como certificados, e pode incorporar autenticação de usuário e/ou dispositivo.

Estabelecer e manter um programa de conscientização de segurança:

Estabelecer e manter um programa de conscientização de segurança. A finalidade de um programa de conscientização de segurança é instruir a força de trabalho da empresa sobre como interagir com ativos e dados corporativos de maneira segura. Realize treinamentos ao contratar e, no mínimo, anualmente. Revise e atualize o conteúdo anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Treinar membros da força de trabalho para reconhecer ataques de engenharia social:

Treine membros da força de trabalho para reconhecer ataques de engenharia social, como phishing, pré-envio de mensagens de texto e utilização não autorizada. 

Treinar membros da força de trabalho nas práticas recomendadas de autenticação:

Treine os membros da força de trabalho nas práticas recomendadas de autenticação. Os tópicos de exemplo incluem MFA, composição de senha e gerenciamento de credenciais.

Treinar a força de trabalho nas práticas recomendadas de manipulação de dados:

Treine os membros da força de trabalho sobre como identificar e armazenar, transferir, arquivar e destruir corretamente dados confidenciais. Isso também inclui o treinamento de membros da força de trabalho sobre práticas recomendadas de tela limpa e mesa, como bloquear a tela quando eles se afastam do ativo empresarial, apagar quadros brancos físicos e virtuais no final das reuniões e armazenar dados e ativos com segurança.

Treine os membros da força de trabalho sobre as causas da exposição não intencional de dados:

Treine os membros da força de trabalho para que estejam cientes das causas da exposição não intencional de dados. Os tópicos de exemplo incluem entrega incorreta de dados confidenciais, perda de um dispositivo portátil de usuário final ou publicação de dados para públicos não intencionais.

Treine membros da força de trabalho para reconhecer e relatar incidentes de segurança:

Treine os membros da força de trabalho para reconhecer um possível incidente e denunciá-lo. 

Treine a força de trabalho sobre como identificar e relatar se os ativos empresariais não tiverem atualizações de segurança:

Treine a força de trabalho para entender como verificar e relatar patches de software desatualizados ou quaisquer falhas em processos e ferramentas automatizados. Parte deste treinamento deve incluir a notificação da equipe de TI sobre quaisquer falhas nos processos e ferramentas automatizados.

Treine a força de trabalho sobre os perigos de se conectar e transmitir dados empresariais em redes inseguras:

Treine os membros da força de trabalho sobre os perigos de se conectar e transmitir dados em redes inseguras para atividades corporativas. Se a empresa tiver funcionários remotos, o treinamento deverá incluir orientações para garantir que todos os usuários configurem com segurança sua infraestrutura de rede doméstica.

Realizar treinamento de conscientização e habilidades de segurança específico para a função:

Conduzir treinamento de conscientização e habilidades de segurança específico para a função. Exemplos de implementações incluem cursos de administração de sistemas seguros para profissionais de TI, (OWASP ™ 10 principais treinamentos de conscientização e prevenção de vulnerabilidades para desenvolvedores de aplicações web e treinamento avançado de conscientização de engenharia social para funções de alto perfil.

Estabelecer e manter um inventário de provedores de serviço:

Estabelecer e manter um inventário de provedores de serviço. O inventário deve listar todos os provedores de serviço conhecidos, incluir classificações e designar um contato empresarial para cada provedor de serviço. Revise e atualize o inventário anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter uma política de gestão de provedor de serviço:

Estabelecer e manter uma política de gestão de provedores de serviços. Certifique-se de que a política lide com a classificação, inventário, avaliação, monitoramento e descomissionamento de provedores de serviços. Revise e atualize a política anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Classificar provedores de serviço:

Classifique os provedores de serviço. A consideração de classificação pode incluir uma ou mais características, como confidencialidade dos dados, volume de dados, requisitos de disponibilidade, regulamentações aplicáveis, risco inerente e risco mitigado. Atualize e revise as classificações anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Certifique-se de que os contratos do provedor de serviço incluam requisitos de segurança:

Certifique-se de que os contratos do provedor de serviço incluam requisitos de segurança. Os requisitos de exemplo podem incluir requisitos mínimos do programa de segurança, notificação e resposta a incidentes de segurança e/ou violação de dados, requisitos de criptografia de dados e compromissos de descarte de dados. Esses requisitos de segurança devem ser consistentes com a política de gestão do provedor de serviço da empresa. Revise os contratos do provedor de serviço anualmente para garantir que não faltem requisitos de segurança nos contratos.

Avaliar provedores de serviço:

Avalie os provedores de serviço de forma consistente com a política de gestão de provedores de serviço da empresa. O escopo da avaliação pode variar de acordo com as classificações e pode incluir a revisão de relatórios de avaliação padronizados, como o Controle da organização de serviço 2 (SOC 2) e a Certificação de conformidade (AoC) do Setor de cartões de pagamento (PCI), questionários personalizados ou outros adequadamente processos rigorosos. Reavalie os provedores de serviço anualmente, no mínimo, ou com contratos novos e renovados.

Avaliar provedores de serviço:

Avalie os provedores de serviço de forma consistente com a política de gestão de provedores de serviço da empresa. O escopo da avaliação pode variar de acordo com as classificações e pode incluir a revisão de relatórios de avaliação padronizados, como o Controle da organização de serviço 2 (SOC 2) e a Certificação de conformidade (AoC) do Setor de cartões de pagamento (PCI), questionários personalizados ou outros adequadamente processos rigorosos. Reavalie os provedores de serviço anualmente, no mínimo, ou com contratos novos e renovados.

Monitorar provedores de serviço:

Monitore os provedores de serviço de forma consistente com a política de gestão de provedores de serviço da empresa. O monitoramento pode incluir reavaliação periódica da conformidade do provedor de serviços, monitoramento de notas de versão do provedor de serviços e monitoramento da web escura.

Provedores de serviço de desativação segura:

Desative com segurança os provedores de serviço. Exemplos de considerações incluem desativação de contas de usuário e serviço, encerramento de fluxos de dados e descarte seguro de dados corporativos nos sistemas do provedor de serviço.

Estabelecer e manter um processo de desenvolvimento de aplicações seguro:

Estabeleça e mantenha um processo de desenvolvimento de aplicações seguro. No processo, aborde itens como: padrões de design de aplicações seguras, práticas de codificação seguras, treinamento de desenvolvedores, gestão de vulnerabilidades, segurança de código de terceiros e procedimentos de teste de segurança de aplicações. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Aplicar princípios de design seguro em arquiteturas de aplicações:

Aplique princípios de design seguro em arquiteturas de aplicações. Os princípios de design seguro incluem o conceito de privilégio mínimo e imposição de mediação para validar todas as operações que o usuário faz, promover o conceito de "nunca confie na entrada do usuário". Os exemplos incluem garantir que a verificação de erros explícita seja realizada e documentada para todas as entradas, inclusive para tamanho, tipo de dados e intervalos ou formatos aceitáveis. O design seguro também significa minimizar a superfície de ataque à infraestrutura de aplicações, como desativar portas e serviços desprotegidos, remover programas e arquivos desnecessários e renomear ou remover contas padrão.

Aproveite módulos ou serviços controlados para componentes de segurança de aplicações:

Aproveite módulos ou serviços examinados para componentes de segurança de aplicações, como gerenciamento de identidade, criptografia e auditoria e registro em log. O uso de recursos da plataforma em funções críticas de segurança reduzirá a carga de trabalho dos desenvolvedores e minimizará a probabilidade de erros de design ou implementação. Os sistemas operacionais modernos fornecem mecanismos eficazes para identificação, autenticação e autorização e disponibilizam esses mecanismos para as aplicações. Use somente algoritmos de criptografia padronizados, atualmente aceitos e amplamente revisados. Os sistemas operacionais também fornecem mecanismos para criar e manter logs de auditoria seguros.

Implementar verificações de segurança no nível de código:

Aplique ferramentas de análise estática e dinâmica no ciclo de vida da aplicação para verificar se as práticas de codificação segura estão sendo seguidas.

Conduzir o teste de invasão da aplicação:

Conduzir testes de invasão de aplicações. Para aplicações críticas, o teste de invasão autenticado é mais adequado para encontrar vulnerabilidades de lógica de negócios do que a verificação de código e os testes de segurança automatizados.O teste de invasão depende da habilidade do testador para manipular manualmente uma aplicação como um usuário autenticado e não autenticado. 

Conduzir a modelagem de ameaças:

Conduzir a modelagem de ameaças. A modelagem de ameaças é o processo de identificação e abordagem de falhas de design de segurança de aplicações em um design, antes que o código seja criado. É realizado por indivíduos especialmente treinados que avaliam o design da aplicação e avaliam os riscos de segurança para cada ponto de entrada e nível de acesso. O objetivo é mapear a aplicação, a arquitetura e a infraestrutura de forma estruturada para entender seus pontos fracos.

Estabelecer e manter um processo para aceitar e resolver vulnerabilidades de software:

Estabeleça e mantenha um processo para aceitar e lidar com relatórios de vulnerabilidades de software, incluindo o fornecimento de um meio para entidades externas relatarem. O processo deve incluir itens como: uma política de manipulação de vulnerabilidades que identifica o processo de emissão de relatórios, a parte responsável por lidar com relatórios de vulnerabilidade e um processo de admissão, atribuição, correção e teste de correção. Como parte do processo, use um sistema de acompanhamento de vulnerabilidades que inclui classificações de gravidade e métricas para medir o tempo de identificação, análise e correção de vulnerabilidades. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Executar análise de causa raiz em vulnerabilidades de segurança:

Execute análise de causa raiz em vulnerabilidades de segurança. Ao revisar vulnerabilidades, a análise de causa raiz é a tarefa de avaliar problemas subjacentes que criam vulnerabilidades no código e permite que as equipes de desenvolvimento vão além de apenas corrigir vulnerabilidades individuais conforme elas surgem.

Estabelecer e gerenciar um inventário de componentes de software de terceiros:

Estabeleça e gerencie um inventário atualizado de componentes de terceiros usados no desenvolvimento, geralmente chamados de “lista de materiais”, bem como componentes programados para uso futuro.Este inventário deve incluir todos os riscos que cada componente de terceiros pode representar.Avalie a lista pelo menos uma vez por mês para identificar mudanças ou atualizações nesses componentes e validar se o componente ainda é compatível. 

Use componentes de software de terceiros atualizados e confiáveis:

Use componentes de software de terceiros atualizados e confiáveis. Quando possível, escolha estruturas e bibliotecas estabelecidas e comprovadas que forneçam segurança adequada.Adquira esses componentes de fontes confiáveis ou avalie o software quanto a vulnerabilidades antes de usar.

Estabelecer e manter um sistema e processo de classificação de gravidade para vulnerabilidades da aplicação:

Estabelecer e manter um sistema e processo de classificação de severidade para vulnerabilidades de aplicações que facilitem a priorização da ordem na qual as vulnerabilidades descobertas são corrigidas. Este processo inclui a definição de um nível mínimo de aceitabilidade de segurança para liberar código ou aplicações. As classificações de gravidade oferecem uma maneira sistemática de triagem de vulnerabilidades que melhora a gestão de riscos e ajuda a garantir que os erros mais graves sejam corrigidos primeiro. Revise e atualize o sistema e o processo anualmente.

Use modelos de configuração de proteção padrão para infraestrutura de aplicações:

Use modelos de configuração de proteção padrão, recomendados pelo setor, para componentes de infraestrutura de aplicações. Isso inclui servidores subjacentes, bancos de dados e servidores Web e se aplica a contêineres em nuvem, componentes de plataforma como serviço (PaaS) e componentes de SaaS. Não permita que o software desenvolvido internamente prejudique a proteção de configuração.

Sistemas de produção e não produção separados:

Mantenha ambientes separados para sistemas de produção e não produção.

Treinar desenvolvedores em conceitos de segurança de aplicações e codificação segura:

Certifique-se de que toda a equipe de desenvolvimento de software receba treinamento para escrever código seguro para seu ambiente de desenvolvimento e responsabilidades específicos. O treinamento pode incluir princípios gerais de segurança e práticas padrão de segurança de aplicações. Realize treinamento pelo menos uma vez por ano e projete de forma a promover a segurança na equipe de desenvolvimento e criar uma cultura de segurança entre os desenvolvedores.

Designar pessoal para gerenciar o tratamento de incidentes:

Designe uma pessoa-chave e pelo menos um backup para gerenciar o processo de tratamento de incidentes da empresa. A equipe de gestão é responsável pela coordenação e documentação dos esforços de resposta e recuperação do incidente e pode consistir em funcionários internos da empresa, fornecedores terceirizados ou uma abordagem híbrida. Se estiver usando um fornecedor terceirizado, designe pelo menos uma pessoa interna à empresa para supervisionar qualquer trabalho de terceiros. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter informações de contato para relatar incidentes de segurança:

Estabeleça e mantenha informações de contato das partes que precisam ser informadas sobre incidentes de segurança. Os contatos podem incluir equipe interna, fornecedores terceirizados, agentes da lei, provedores de seguro cibernético, agências governamentais relevantes, parceiros do Centro de análise e compartilhamento de informações (ISAC) ou outras partes interessadas. Verifique os contatos anualmente para garantir que as informações estejam atualizadas.

Estabelecer e manter um processo empresarial para relatar incidentes:

Estabelecer e manter um processo empresarial para a força de trabalho relatar incidentes de segurança. O processo inclui o intervalo de tempo de relatório, a equipe a quem se reportar, o mecanismo de relatório e as informações mínimas a serem relatadas. Certifique-se de que o processo esteja publicamente disponível para toda a força de trabalho. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter um processo de resposta a incidentes:

Estabeleça e mantenha um processo de resposta a incidentes que aborde funções e responsabilidades, requisitos de conformidade e um plano de comunicação. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Atribuir funções e responsabilidades principais:

Atribua funções e responsabilidades principais para a resposta do incidente, incluindo a equipe jurídica, TI, segurança da informação, instalações, relações públicas, recursos humanos, respondentes de incidentes e analistas, conforme aplicável. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Defina mecanismos para comunicação durante a resposta do incidente:

Determine quais mecanismos primários e secundários serão usados para se comunicar e relatar durante um incidente de segurança. Os mecanismos podem incluir chamadas telefônicas, e-mails ou cartas. Lembre-se de que determinados mecanismos, como e-mails, podem ser afetados durante um incidente de segurança. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Conduzir exercícios de resposta a incidentes de rotina:

Planejar e conduzir exercícios de resposta a incidentes de rotina e cenários para o pessoal-chave envolvido no processo de resposta a incidentes para se preparar para responder a incidentes do mundo real. Os exercícios precisam testar canais de comunicação, tomada de decisão e fluxos de trabalho. Realize testes anualmente, no mínimo.

Conduzir revisões pós-incidente:

Conduzir revisões pós-incidente. As revisões pós-incidente ajudam a evitar a recorrência do incidente por meio da identificação de lições aprendidas e da ação de acompanhamento.

Estabelecer e manter limites de incidentes de segurança:

Estabelecer e manter limites de incidentes de segurança, incluindo, no mínimo, a diferenciação entre um incidente e um evento. Os exemplos podem incluir: atividade anormal, vulnerabilidade de segurança, fraqueza de segurança, violação de dados, incidente de privacidade etc. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta proteção.

Estabelecer e manter um programa de testes de invasão:

Estabelecer e manter um programa de testes de invasão apropriado ao tamanho, complexidade e maturidade da empresa. As características do programa de teste de invasão incluem escopo, como rede, aplicação web, Interface de programação de aplicações (API), serviços hospedados e controles de instalações físicas; frequência; limitações, como horas aceitáveis e tipos de ataque excluídos; informações de ponto de contato; correção, por exemplo, como as descobertas serão roteadas internamente; e requisitos retrospectivos.

Execute testes periódicos de invasão externa:

Realize testes periódicos de invasão externa com base nos requisitos do programa, pelo menos uma vez por ano. O teste de invasão externa deve incluir o reconhecimento empresarial e ambiental para detectar informações exploráveis. O teste de invasão requer habilidades e experiência especializadas e deve ser realizado por meio de uma parte qualificada. O teste pode ser caixa transparente ou caixa opaca.

Corrigir descobertas do teste de invasão:

Corrija as descobertas do teste de invasão com base na política da empresa para escopo de correção e priorização.

Validar medidas de segurança:

Valide as medidas de segurança após cada teste de invasão. Se necessário, modifique os conjuntos de regras e capacidades para detectar as técnicas usadas durante os testes.

Utilize uma ferramenta de descoberta ativa para identificar dispositivos conectados à rede da organização e atualizar o inventário de ativos de hardware.

Utilize uma ferramenta de descoberta passiva para identificar dispositivos conectados à rede da organização e atualizar automaticamente o inventário de ativos de hardware da organização.

Mantenha um inventário preciso e atualizado de todos os ativos de tecnologia com potencial para armazenar ou processar informações. Este inventário deve incluir todos os ativos de hardware, estejam eles conectados à rede da organização ou não.

Certifique-se de que o inventário de ativos de hardware registre o endereço de rede, o endereço de hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Utilize o controle de acesso no nível da porta, seguindo os padrões 802.1x, para controlar quais dispositivos podem ser autenticados na rede. O sistema de autenticação deve ser vinculado aos dados do inventário de ativos de hardware para garantir que somente dispositivos autorizados possam se conectar à rede.

Use certificados de cliente para autenticar ativos de hardware que se conectam à rede confiável da organização.

Mantenha uma lista atualizada de todos os softwares autorizados necessários na empresa para qualquer finalidade de negócios em qualquer sistema de negócios.

Certifique-se de que somente aplicações de software ou sistemas operacionais atualmente compatíveis com o fornecedor do software sejam adicionados ao inventário de software autorizado da organização. O software sem suporte deve ser marcado como sem suporte no sistema de inventário.

Utilize ferramentas de inventário de software em toda a organização para automatizar a documentação de todos os softwares nos sistemas de negócios.

O sistema de inventário de software deve rastrear o nome, a versão, o fornecedor e a data de instalação de todos os softwares, incluindo sistemas operacionais autorizados pela organização.

O sistema de inventário de software deve ser vinculado ao inventário de ativos de hardware para que todos os dispositivos e softwares associados sejam rastreados de um único local.

Utilize uma ferramenta de verificação de vulnerabilidades atualizada e compatível com SCAP para verificar automaticamente todos os sistemas na rede semanalmente ou com mais frequência para identificar todas as possíveis vulnerabilidades nos sistemas da organização.

Execute a verificação de vulnerabilidades autenticada com agentes em execução localmente em cada sistema ou com verificadores remotos configurados com direitos elevados no sistema que está sendo testado.

Compare regularmente os resultados das verificações de vulnerabilidades consecutivas para verificar se as vulnerabilidades foram corrigidas em tempo hábil.

Antes de implantar qualquer novo ativo, altere todas as senhas padrão para que tenham valores consistentes com as contas de nível administrativo.

Onde a autenticação multifator não for compatível (como administrador local, raiz ou contas de serviço), as contas usarão senhas exclusivas desse sistema.

Configure os sistemas para emitir uma entrada de log e alertar quando uma conta for adicionada ou removida de qualquer grupo com privilégios administrativos atribuídos.

Configure os sistemas para emitir uma entrada de log e alertar sobre logins malsucedidos em uma conta administrativa.

Certifique-se de que o registro em log local tenha sido habilitado em todos os sistemas e dispositivos de rede.

Habilite o registro em log do sistema para incluir informações detalhadas, como origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.

Certifique-se de que somente navegadores da Web e clientes de e-mail totalmente compatíveis tenham permissão para ser executados na organização, de preferência usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Qualquer software AV de classe empresarial terá esse recurso. Por ter um AV gerenciado centralmente, você pode habilitar facilmente os requisitos individuais.

O AV é tão bom quanto suas assinaturas. Embora a detecção baseada em assinatura não seja mais viável, até mesmo os mecanismos baseados em anomalias precisam ser atualizados regularmente. Certifique-se de que as atualizações sejam distribuídas automaticamente e use ferramentas para verificar se as assinaturas estão realmente atualizadas.

Os guias de proteção DISA fornecem instruções passo a passo sobre como habilitar essas configurações e muito mais.

A maioria dos AVs tem esse recurso ativado por padrão, mas ainda é importante verificar se ele ainda está habilitado. O malware que entra por meio de um pendrive é um vetor de ataque viável para quase todas as organizações.

Pelo mesmo motivo pelo qual você não deseja verificar, você também não deseja que ele seja executado quando estiver montado. Esta é uma configuração bastante rápida de habilitar, e os guias de proteção CIS e DISA têm instruções passo a passo sobre como desabilitar a execução automática. Algumas ferramentas de SCM podem verificar rapidamente todos os endpoints em seu ambiente para garantir que essa configuração esteja desabilitada.

Execute verificações de porta automatizadas regularmente em todos os sistemas e alerte se portas não autorizadas forem detectadas em um sistema.

Compare todas as configurações de dispositivo de rede com as configurações de segurança aprovadas definidas para cada dispositivo de rede em uso e alerte quando forem descobertos desvios.

Instale a versão estável mais recente de todas as atualizações relacionadas à segurança em todos os dispositivos de rede.

Implante sensores de Sistemas de detecção de intrusão (IDS) baseados em rede para procurar mecanismos de ataque incomuns e detectar o comprometimento desses sistemas em cada um dos limites de rede da organização.

Remova da rede dados ou sistemas confidenciais que não são acessados regularmente pela organização. Esses sistemas só devem ser usados como sistemas autônomos (desconectados da rede) pela unidade de negócios que precisa usar o sistema ocasionalmente ou totalmente virtualizados e desligados até que sejam necessários.

Forneça treinamento aos funcionários para que eles estejam cientes dos riscos dos dados em unidades USB. Em seguida, forneça a eles as ferramentas para proteger os dados críticos da sua organização.

Criptografe todas as informações confidenciais em trânsito.

Mantenha um inventário de pontos de acesso sem fio autorizados conectados à rede com fio.

Mantenha um inventário de cada um dos sistemas de autenticação da organização, incluindo aqueles localizados no local ou em um provedor de serviço remoto.

Criptografe ou crie hash com um salt de todas as credenciais de autenticação quando armazenadas.

Certifique-se de que todos os nomes de usuário de conta e credenciais de autenticação sejam transmitidos entre redes usando canais criptografados.

Bloqueie automaticamente as sessões da estação de trabalho após um período padrão de inatividade.

Alerta quando os usuários se desviam do comportamento normal de login, como hora do dia, local da estação de trabalho e duração.

Use somente algoritmos de criptografia padronizados e amplamente revisados.

Estabeleça um processo para aceitar e lidar com relatórios de vulnerabilidades de software, incluindo o fornecimento de um meio para que entidades externas entrem em contato com seu grupo de segurança.

Atribua cargos e deveres para lidar com incidentes de computador e rede a indivíduos específicos e garanta o acompanhamento e a documentação em todo o incidente até a resolução.

Designe a equipe de gestão, bem como os backups, que darão suporte ao processo de manipulação de incidentes, agindo nas principais funções de tomada de decisão.

Publique informações para todos os membros da força de trabalho sobre como relatar anomalias e incidentes de computador para a equipe de tratamento de incidentes. Essas informações devem ser incluídas em atividades de conscientização de funcionários de rotina.

Defina uma “política de segurança da informação” que seja aprovada pela gestão e que defina a abordagem da organização para gerenciar seus objetivos de segurança da informação. A política de segurança da informação é compatível com políticas específicas de tópico, que determinam ainda mais a implementação de controles de segurança da informação para incluir: controle de acesso; classificação de informações (e manipulação); segurança física e ambiental; backup; transferência de informações; proteção contra malware; gestão de vulnerabilidades técnicas; controles criptográficos; segurança das comunicações; privacidade e proteção de informações de identificação pessoal; relacionamentos com fornecedores e tópicos orientados ao usuário final, como: 1) uso aceitável de ativos; 2) limpar mesa e limpar tela; 3) transferência de informações; 4) dispositivos móveis e trabalho remoto; 5) restrições de instalações e uso de software.

Certifique-se de que as responsabilidades pela proteção de ativos individuais sejam identificadas no inventário de ativos. Certifique-se de que as funções e responsabilidades para o desenvolvimento e a implementação da segurança da informação estejam claramente definidas.

Utilize um software de criptografia de disco inteiro aprovado para criptografar o disco rígido de todos os dispositivos móveis.

Imponha políticas de acesso remoto para funcionários e prestadores de serviços.

Certifique-se de que a verificação de antecedentes seja realizada para todos os funcionários e prestadores de serviços antes de conceder acesso aos ativos da empresa.

Certifique-se de que todos os funcionários recém-contratados ou prestadores de serviços assinaram e concordaram com os termos e condições de emprego, incluindo sua responsabilidade pela segurança da informação.

Certifique-se de que o inventário de ativos de hardware registre o endereço de rede, o endereço de hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Certifique-se de que o inventário de ativos de hardware registre o endereço de rede, o endereço de hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Certifique-se de que os funcionários e prestadores de serviços estejam cientes dos requisitos de segurança da informação dos ativos das organizações associados às informações e às instalações e recursos de processamento de informações. Eles devem ser responsáveis pelo uso de quaisquer recursos de processamento de informações e por qualquer uso realizado sob sua responsabilidade.

Use certificados de cliente para autenticar ativos de hardware que se conectam à rede confiável da organização.

Exija que todos os usuários acessem a rede da organização para criptografar dados em trânsito e usar a autenticação multifator.

Onde a autenticação multifator não for compatível (como administrador local, raiz ou contas de serviço), as contas usarão senhas exclusivas desse sistema.

Certifique-se de que a política em torno da criptografia exista e seja aplicada, implementada e imposta de acordo com os requisitos de classificação de dados.

Certifique-se de que a gestão de chaves de criptografia seja gerenciada seguindo uma política e procedimento formais para todo o ciclo de vida da chave.

Certifique-se de que a política de mesa limpa seja adaptada por funcionários e prestadores de serviços.

Certifique-se de que somente navegadores da Web e clientes de e-mail totalmente compatíveis tenham permissão para ser executados na organização, de preferência usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Certifique-se de que somente navegadores da Web e clientes de e-mail totalmente compatíveis tenham permissão para ser executados na organização, de preferência usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Certifique-se de que o registro em log local tenha sido habilitado em todos os sistemas e dispositivos de rede.

Certifique-se de que os logs estejam protegidos com segurança contra acesso não autorizado.

Impor registro em log de auditoria detalhado para acesso a dados confidenciais ou mudanças em dados confidenciais (utilizando ferramentas como File Integrity Monitoring ou Security Information and Event Monitoring).

Certifique-se de que políticas, procedimentos e controles de transferência formais estejam em vigor para proteger a transferência de informações por meio do uso de todos os tipos de recursos de comunicação.

Certifique-se de que os requisitos relacionados à segurança da informação estejam incluídos nos requisitos para novos sistemas da informação ou melhorias nos sistemas da informação existentes.

Certifique-se de que as aplicações críticas para os negócios sejam revisadas e testadas para garantir que não haja impacto adverso nas operações organizacionais ou na segurança sempre que houver mudanças nas plataformas operacionais.

Certifique-se de que as modificações nos pacotes de software sejam desencorajadas ou limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas.

Certifique-se de que os testes de segurança, como revisões de código seguro e verificação de vulnerabilidades, sejam realizados durante o ciclo de vida de desenvolvimento. Certifique-se de que as vulnerabilidades identificadas sejam documentadas e que a correção seja realizada.

Certifique-se de que o teste de aceitação do sistema inclua o teste dos requisitos de segurança da informação e a adesão às práticas de desenvolvimento de sistemas seguros.

Certifique-se de que o teste de aceitação do sistema inclua o teste dos requisitos de segurança da informação e a adesão às práticas de desenvolvimento de sistemas seguros.

Certifique-se de que os controles de segurança da informação sejam abordados e resolvidos com o fornecedor antes de realizar negócios ou conceder acesso aos ativos do fornecedor.

Certifique-se de que a avaliação de risco seja realizada para antes de fazer negócios e conceder aos fornecedores e fornecedores acesso a ativos e que os controles e requisitos de segurança sejam acordados e documentados no acordo de fornecedores/fornecedores.

Certifique-se de que o fornecedor esteja monitorando e revisando regularmente para garantir que os termos e condições de segurança da informação dos acordos estejam sendo respeitados e que os incidentes e problemas de segurança da informação sejam gerenciados corretamente.

Certifique-se de que a avaliação de risco de terceiros seja realizada sempre que houver mudanças na provisão de serviços. Certifique-se de que as mudanças na provisão de serviços por fornecedores, incluindo a manutenção e melhoria das políticas, procedimentos e controles de segurança da informação existentes, sejam gerenciadas.

Certifique-se de que haja um programa formal de Gestão de incidentes e que todo o pessoal e terceiros sejam treinados sobre como reconhecer e relatar incidentes de segurança.

Certifique-se de que haja uma gestão formal de eventos de segurança da informação para incluir o evento de segurança acordado e a escala de classificação de incidente para emissão de relatórios e escalação. Certifique-se de que o esquema de classificação de ameaças e riscos esteja documentado. Certifique-se de que as notificações de resposta do incidente sejam mantidas. Certifique-se de que os limites de impacto a serem usados na categorização de incidentes sejam documentados.

Certifique-se de que os incidentes de segurança da informação sejam respondidos e gerenciados de acordo com os procedimentos documentados.

Certifique-se de que os procedimentos de monitoramento de incidentes estejam incluídos no programa de gestão de incidentes para documentar incidentes e garantir que os eventos de segurança sejam analisados periodicamente para reduzir incidentes futuros.

Certifique-se de que a segurança da informação e a continuidade da gestão de segurança da informação sejam planejadas e incluídas no plano de continuidade de negócios ou no plano de recuperação de desastre.

Certifique-se de que o plano de continuidade de negócios ou de recuperação de desastre esteja formalmente documentado.

Certifique-se de que o plano de continuidade de negócios ou de recuperação de desastre seja um exercício anual para validar que o controle de segurança adequado seja válido e eficaz durante uma situação adversa.

Certifique-se de que os componentes de failover e recuperação funcionem conforme o esperado.

Certifique-se de que os registros e dados estejam protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos legislativos, regulatórios, contratuais e de negócios.

Certifique-se de que a privacidade e a proteção das informações de identificação pessoal sejam protegidas e tratadas de acordo com a legislação e a regulamentação quando aplicável.

Certifique-se de que os testes de configuração de sistemas no escopo em relação aos requisitos regulatórios e de conformidade sejam realizados regularmente. Certifique-se de que os padrões de configuração de linha de base para sistemas estejam documentados e baseados nas práticas recomendadas do setor.

Certifique-se de que o processo de rescisão seja formalizado para incluir o retorno de todos os ativos físicos e eletrônicos emitidos anteriormente de propriedade da organização ou confiados a ela.

• Perfis de RH [sn_hr_core_profile]
• Ativo [alm_asset]

Certifique-se de que os ativos de software sejam gerenciados e atualizados regularmente.

• Base para Software Asset Management
• Núcleo de Software Asset Management Professional

• Instalação de software [cmdb_sam_sw_install]
• Modelos de software [cmdb_software_product_model]

Utilize um processo de classificação de risco para priorizar a correção de vulnerabilidades descobertas.

Desinstale ou desabilite qualquer navegador não autorizado ou plug-ins de cliente de e-mail ou aplicações de complemento.

• Base para Software Asset Management
• Núcleo de Software Asset Management Professional

• Instalação de software [cmdb_sam_sw_install]
• Modelos de software [cmdb_software_product_model]

Estabeleça práticas de codificação seguras apropriadas para a linguagem de programação e o ambiente de desenvolvimento em uso.

Certifique-se de que haja planos de resposta a incidentes por escrito que definam as funções do pessoal, bem como as fases de tratamento/gestão de incidentes.