Estabelecer e manter inventário detalhado de ativos empresariais:

Estabeleça e mantenha um inventário preciso, detalhado e atualizado de todos os ativos empresariais com potencial para armazenar ou processar dados, incluindo: Dispositivos de usuário final (incluindo portáteis e móveis), dispositivos de rede, dispositivos não computacionais/IoT e servidores. Certifique-se de que o inventário registre o endereço de rede (se estático), o endereço de hardware, o nome da máquina, o proprietário do ativo de dados, o departamento de cada ativo e se o ativo foi aprovado para se conectar à rede. Para dispositivos móveis de usuário final, as ferramentas do tipo MDM podem oferecer suporte a esse processo, quando apropriado. Este inventário inclui ativos conectados à infraestrutura física, virtual, remotamente e aqueles em ambientes de nuvem. Além disso, ele inclui ativos que são regularmente conectados à infraestrutura de rede da empresa, mesmo que não estejam sob controle da empresa. Revise e atualize o inventário de todos os ativos empresariais quinzenalmente ou com mais frequência.

Endereço de ativos não autorizados:

Certifique-se de que exista um processo para lidar com ativos não autorizados semanalmente. A empresa pode optar por remover o ativo da rede, negar que o ativo se conecte remotamente à rede ou colocar o ativo em quarentena.

Utilize uma Ferramenta de Descoberta Ativa:

Utilize uma ferramenta de descoberta ativa para identificar ativos conectados à rede da empresa. Configure a ferramenta de descoberta ativa para ser executada diariamente ou com mais frequência.

Usar registro em log DHCP (Dynamic Host Configuration Protocol, protocolo de configuração dinâmica de host) para atualizar o inventário de ativos empresariais:

Use o registro em log DHCP em todos os servidores DHCP ou ferramentas de gestão de endereços de Protocolo de Internet (IP) para atualizar o inventário de ativos da empresa. Revise e use logs para atualizar o inventário de ativos da empresa semanalmente ou com mais frequência.

Use uma Ferramenta de Descoberta de Ativos Passivos:

Use uma ferramenta de descoberta passiva para identificar ativos conectados à rede da empresa. Revise e use verificações para atualizar o inventário de ativos da empresa pelo menos semanalmente ou com mais frequência.

Estabelecer e manter um inventário de software:

Estabelecer e manter um inventário detalhado de todos os softwares licenciados instalados em ativos empresariais. O inventário de software deve documentar o título, o fornecedor, a data de instalação/uso inicial e a finalidade comercial de cada entrada. Quando apropriado, inclua o Localizador uniforme de recursos (URL), a loja(s) de aplicações, a versão(s), o mecanismo de implantação e a data de desativação. Revise e atualize o inventário de software quinzenalmente ou com mais frequência.

Certifique-se de que o Software autorizado seja compatível no momento

Certifique-se de que somente o software compatível no momento seja designado como autorizado no inventário de software para ativos empresariais. Se o software não for compatível, mas necessário para o cumprimento da missão da empresa, documente uma exceção detalhando os controles de mitigação e a aceitação de risco residual. Para qualquer software incompatível sem uma documentação de exceção, designe como não autorizado. Revise a lista de software para verificar o suporte de software pelo menos mensalmente ou com mais frequência.

Endereçar software não autorizado:

Certifique-se de que o software não autorizado seja removido do uso em ativos empresariais ou receba uma exceção documentada. Revise mensalmente ou com mais frequência.

Utilize ferramentas automatizadas de inventário de software:

Utilize ferramentas de inventário de software, quando possível, em toda a empresa para automatizar a descoberta e a documentação do software instalado.

Software autorizado da lista de permissões:

Use controles técnicos, como lista de permissões de aplicações, para garantir que somente softwares autorizados possam ser executados ou acessados. Reavalie quinzenalmente ou com mais frequência.

Bibliotecas autorizadas da lista de permissões:

Use controles técnicos para garantir que somente bibliotecas de software autorizadas, como arquivos específicos .dll, .ocx, .so etc., podem ser carregados em um processo do sistema. Bloquear o carregamento de bibliotecas não autorizadas em um processo do sistema. Reavalie quinzenalmente ou com mais frequência.

Scripts autorizados da lista de permissões:

Use controles técnicos, como assinaturas digitais e controle de versão, para garantir que somente scripts autorizados, como arquivos específicos .ps1, .py etc., tenham permissão para executar. Bloquear a execução de scripts não autorizados. Reavalie quinzenalmente ou com mais frequência.

Estabelecer e manter um processo de gestão de dados:

Estabelecer e manter um processo de gestão de dados. No processo, abordar a confidencialidade de dados, o proprietário de dados, manipulação de dados, limites de retenção de dados, e requisitos de descarte, com base em padrões de confidencialidade e retenção para a empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Criptografar dados confidenciais em trânsito:

Criptografar dados confidenciais em trânsito. Implementações de exemplo podem incluir TLS (Transport Layer Security) e OpenSSH (Open Secure Shell).

Criptografar dados confidenciais em repouso:

Criptografe dados confidenciais em repouso em servidores, aplicações e bancos de dados que contêm dados confidenciais. A criptografia da camada de armazenamento, também conhecida como criptografia do lado do servidor, atende ao requisito mínimo desta proteção. Métodos de criptografia adicionais podem incluir criptografia na camada da aplicação, também conhecida como criptografia do lado do cliente, em que o acesso aos dispositivos de armazenamento de dados não permite o acesso aos dados de texto sem formatação.

Processamento e armazenamento de dados de segmento com base na confidencialidade:

Segmente o processamento e o armazenamento de dados com base na confidencialidade dos dados. Não processe dados confidenciais em ativos empresariais destinados a dados de menor confidencialidade.

Implantar uma solução de prevenção contra perda de dados:

Implemente uma ferramenta automatizada, como uma ferramenta de prevenção de perda de dados (DLP) baseada em host para identificar todos os dados confidenciais armazenados, processados ou transmitidos por meio de ativos empresariais, incluindo aqueles localizados no local ou em um provedor de serviço remoto, e atualize o inventário de dados confidenciais da empresa.

Registrar acesso a dados confidenciais:

Registre o acesso a dados confidenciais, incluindo modificação e descarte.

Estabelecer e manter um inventário de dados:

Estabelecer e manter um inventário de dados, com base no processo de gestão de dados da empresa. Inventário de dados confidenciais, no mínimo. Revise e atualize o inventário anualmente, no mínimo, com prioridade em dados confidenciais.

Configurar listas de controle de acesso a dados:

Configure listas de controle de acesso a dados com base na necessidade de um usuário saber. Aplique listas de controle de acesso a dados, também conhecidas como permissões de acesso, a sistemas de arquivos, bancos de dados e aplicações locais e remotos.

Impor retenção de dados:

Retenha dados de acordo com o processo de gestão de dados da empresa. A retenção de dados deve incluir cronogramas mínimos e máximos.

Descartar dados com segurança:

Descarte os dados com segurança conforme descrito no processo de gestão de dados da empresa. Certifique-se de que o processo e o método de descarte sejam compatíveis com a confidencialidade dos dados.

Criptografar dados em dispositivos do usuário final:

Criptografe dados em dispositivos do usuário final que contenham dados confidenciais. Implementações de exemplo podem incluir o Windows BitLocker ™, Apple FileVault ™Linux dm-crypt ™.

Estabelecer e manter um esquema de classificação de dados:

Estabelecer e manter um esquema geral de classificação de dados para a empresa. As empresas podem usar rótulos, como "Confidencial", "Confidencial" e "Público", e classificar seus dados de acordo com esses rótulos. Revise e atualize o esquema de classificação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Fluxos de dados do documento:

Fluxos de dados do documento. A documentação do fluxo de dados inclui fluxos de dados do provedor de serviços e deve ser baseada no processo de gestão de dados da empresa. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Criptografar dados em mídia removível:

Criptografar dados em mídia removível.

Estabelecer e manter um processo de configuração seguro:

Estabelecer e manter um processo de configuração seguro para ativos empresariais (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicações).Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Impor bloqueio automático de dispositivo em dispositivos portáteis de usuário final:

Impor bloqueio automático de dispositivo seguindo um limite predeterminado de tentativas de autenticação com falha local em dispositivos portáteis de usuário final, quando compatível. Para laptops, não permita mais de 20 tentativas de autenticação com falha; para tablets e smartphones, não permita mais de 10 tentativas de autenticação com falha. Exemplos de implementações incluem Microsoft Bloqueio de dispositivo do Intune e. Apple MaxFailedAttents do perfil de configuração.

Impor capacidade de limpeza remota em dispositivos portáteis de usuário final:

Limpe remotamente os dados empresariais de dispositivos portáteis do usuário final de propriedade da empresa quando considerado apropriado, como dispositivos perdidos ou roubados, ou quando um indivíduo não oferecer mais suporte à empresa.

Espaços empresariais separados em dispositivos móveis de usuário final:

Certifique-se de que espaços empresariais separados sejam usados em dispositivos móveis de usuário final, quando compatíveis. Exemplos de implementações incluem o uso de um Apple Perfil de configuração ou Android Perfil de trabalho para separar aplicações e dados empresariais de aplicações e dados pessoais.

Estabelecer e manter um processo de configuração seguro para infraestrutura de rede:

Estabelecer e manter um processo de configuração seguro para dispositivos de rede. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Configurar bloqueio automático de sessão em ativos empresariais:

Configure o bloqueio automático de sessão em ativos empresariais após um período definido de inatividade. Para sistemas operacionais de uso geral, o período não deve exceder 15 minutos. Para dispositivos móveis de usuário final, o período não deve exceder 2 minutos.

Implementar e gerenciar um firewall em servidores:

Implementar e gerenciar um firewall em servidores, quando compatível. Exemplos de implementações incluem um firewall virtual, firewall do sistema operacional ou um agente de firewall de terceiros.

Implementar e gerenciar um firewall em dispositivos de usuário final:

Implemente e gerencie um firewall baseado em host ou uma ferramenta de filtragem de portas em dispositivos de usuário final, com uma regra de negação padrão que descarta todo o tráfego, exceto os serviços e portas que são explicitamente permitidos.

Gerencie ativos e software empresariais com segurança:

Gerencie ativos e software empresariais com segurança. As implementações de exemplo incluem o gerenciamento da configuração por meio de infraestrutura controlada por versão-como-código e o acesso a interfaces administrativas por protocolos de rede seguros, como SSH (Secure Shell) e HTTPS (Hypertext Transfer Protocol Secure). Não use protocolos de gestão inseguros, como Telnet (Rede Teletype) e HTTP, a menos que operacionalmente seja essencial.

Gerenciar contas padrão em ativos e software empresariais:

Gerencie contas padrão em ativos e software empresariais, como raiz, administrador e outras contas de fornecedor pré-configuradas. Exemplos de implementações podem incluir: Desabilitar contas padrão ou torná-las inutilizáveis.

Desinstalar ou desabilitar serviços desnecessários em ativos e software empresariais:

Desinstalar ou desabilitar serviços desnecessários em ativos e software empresariais, como um serviço de compartilhamento de arquivos não utilizado, módulo de aplicações web ou função de serviço.

Configurar servidores DNS confiáveis em ativos empresariais:

Configurar servidores DNS confiáveis em ativos empresariais. As implementações de exemplo incluem: Configurar ativos para usar servidores DNS controlados pela empresa e/ou servidores DNS acessíveis externamente respeitáveis.

Estabelecer e manter um inventário de contas:

Estabelecer e manter um inventário de todas as contas gerenciadas na empresa. O inventário deve incluir contas de usuário e de administrador. No mínimo, o inventário deve conter o nome da pessoa, o nome de usuário, as datas de início/término e o departamento. Valide se todas as contas ativas estão autorizadas, em uma programação recorrente no mínimo por trimestre ou com mais frequência.

Usar senhas exclusivas:

Use senhas exclusivas para todos os ativos empresariais. A implementação de prática recomendada inclui, no mínimo, uma senha de 8 caracteres para contas que usam MFA e uma senha de 14 caracteres para contas que não usam MFA.

Desabilitar contas inativas:

Exclua ou desabilite todas as contas inativas após um período de 45 dias de inatividade, quando houver suporte.

Restringir privilégios de administrador a contas de administrador dedicadas:

Restringir privilégios de administrador a contas de administrador dedicadas em ativos empresariais. Conduzir atividades gerais de computação, como navegação na internet, e-mail e uso do pacote de produtividade, a partir da conta primária e não privilegiada do usuário.

Estabelecer e manter um inventário de contas de serviço:

Estabelecer e manter um inventário de contas de serviço. No mínimo, o inventário deve conter o responsável pelo departamento, a data de revisão e a finalidade. Execute revisões de conta de serviço para validar se todas as contas ativas estão autorizadas, em uma programação recorrente no mínimo por trimestre ou com mais frequência.

Gestão de contas centralizada:

Centralize a gestão de contas por meio de um diretório ou serviço de identidade.

Estabelecer um processo de concessão de acesso:

Estabeleça e siga um processo, de preferência automatizado, para conceder acesso a ativos empresariais após uma nova contratação, concessão de direitos ou mudança de função de um usuário.

Estabelecer um processo de revogação de acesso:

Estabeleça e siga um processo, de preferência automatizado, para revogar o acesso a ativos empresariais, desabilitando contas imediatamente após o encerramento, revogação de direitos ou mudança de função de um usuário. Desabilitar contas, em vez de excluir contas, pode ser necessário para preservar trilhas de auditoria.

MFA necessária para aplicações expostas externamente:

Exigir que todas as aplicações empresariais ou de terceiros expostas externamente imponham a MFA, quando compatível. Impor MFA por meio de um serviço de diretório ou provedor de SSO é uma implementação satisfatória dessa proteção.

MFA necessária para acesso remoto à rede:

MFA para acesso remoto à rede.

MFA necessária para acesso administrativo:

Exigir MFA para todas as contas de acesso administrativo, quando compatível, em todos os ativos empresariais, sejam gerenciados no local ou por meio de um provedor de terceiros.

Estabelecer e manter um inventário de sistemas de autenticação e autorização:

Estabelecer e manter um inventário dos sistemas de autenticação e autorização da empresa, incluindo aqueles hospedados no local ou em um provedor de serviço remoto. Revise e atualize o inventário, no mínimo, anualmente ou com mais frequência.

Controle de acesso centralizado:

Centralize o controle de acesso para todos os ativos empresariais por meio de um serviço de diretório ou provedor de SSO, quando compatível.

Definir e manter controle de acesso baseado em função:

Defina e mantenha o controle de acesso baseado em função, determinando e documentando os direitos de acesso necessários para que cada função na empresa execute com sucesso suas tarefas atribuídas. Execute revisões de controle de acesso de ativos empresariais para validar se todos os privilégios estão autorizados, em uma programação recorrente no mínimo anualmente ou com mais frequência.

Estabelecer e manter um processo de Gestão de vulnerabilidades:

Estabelecer e manter um processo documentado de gestão de vulnerabilidades para ativos empresariais. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Estabelecer e manter um processo de correção:

Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.

Executar a Gestão automatizada de patches do sistema operacional:

Execute atualizações do sistema operacional em ativos empresariais por meio do gerenciamento automatizado de patches mensalmente ou com mais frequência.

Executar a Gestão automatizada de patches de aplicações:

Execute atualizações de aplicações em ativos empresariais por meio do gerenciamento automatizado de patches mensalmente ou com mais frequência.

Executar verificações automatizadas de vulnerabilidades de ativos empresariais internos:

Execute verificações automatizadas de vulnerabilidades de ativos empresariais internos trimestralmente ou com mais frequência. Conduza verificações autenticadas e não autenticadas usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP.

Executar verificações automatizadas de vulnerabilidades de ativos empresariais expostos externamente:

Execute verificações automatizadas de vulnerabilidades de ativos empresariais expostos externamente usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP. Execute verificações mensalmente ou com mais frequência.

Corrigir vulnerabilidades detectadas:

Corrija vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.

Estabelecer e manter um processo de Gestão de logs de auditoria:

Estabeleça e mantenha um processo de gestão de logs de auditoria que defina os requisitos de registro em log da empresa. Trate, no mínimo, a coleta, a revisão e a retenção de logs de auditoria de ativos empresariais. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Reter logs de auditoria:

Mantenha logs de auditoria em ativos empresariais por um mínimo de 90 dias.

Conduzir revisões de log de auditoria:

Conduza revisões de logs de auditoria para detectar anomalias ou eventos anormais que possam indicar uma possível ameaça. Conduza revisões semanalmente ou com mais frequência.

Coletar logs do provedor de serviço:

Colete logs do provedor de serviço, quando compatível. As implementações de exemplo incluem a coleta de eventos de autenticação e autorização, eventos de criação e descarte de dados e eventos de gestão de usuários.

Coletar logs de auditoria:

Coletar logs de auditoria. Certifique-se de que o registro em log, de acordo com o processo de gestão de logs de auditoria da empresa, tenha sido habilitado em todos os ativos da empresa.

Armazenamento adequado do log de auditoria:

Certifique-se de que os destinos de registro em log mantenham o armazenamento adequado para estar em conformidade com o processo de gestão de logs de auditoria da empresa.

Padronizar sincronização de tempo:

Padronize a sincronização de tempo. Configure pelo menos duas origens de tempo sincronizadas em ativos empresariais, quando compatível.

Coletar logs de auditoria detalhados:

Configure o registro em log de auditoria detalhado para ativos empresariais que contêm dados confidenciais. Incluir origem do evento, data, nome de usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis que podem ajudar em uma investigação forense.

Coletar logs de auditoria de consulta DNS:

Colete logs de auditoria de consulta DNS em ativos empresariais, quando apropriado e compatível.

Coletar logs de auditoria de solicitação de URL:

Colete logs de auditoria de solicitação de URL em ativos empresariais, quando apropriado e compatível.

Coletar logs de auditoria de linha de comando:

Colete logs de auditoria de linha de comando. Exemplos de implementações incluem a coleta de logs de auditoria do PowerShell ™BASH ™e terminais administrativos remotos.

Centralize logs de auditoria:

Centralize, na medida do possível, a coleta e retenção de logs de auditoria em ativos empresariais.

Garanta o uso somente de navegadores e clientes de e-mail totalmente compatíveis:

Certifique-se de que somente navegadores e clientes de e-mail totalmente compatíveis tenham permissão para executar na empresa, usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Usar serviços de filtragem de DNS:

Use serviços de filtragem DNS em todos os ativos empresariais para bloquear o acesso a domínios mal-intencionados conhecidos.

Manter e impor filtros de URL baseados em rede:

Impor e atualizar filtros de URL baseados em rede para limitar um ativo empresarial de se conectar a sites potencialmente mal-intencionados ou não aprovados. As implementações de exemplo incluem filtragem baseada em categoria, filtragem baseada em reputação ou por meio do uso de listas de bloqueios. Impor filtros para todos os ativos empresariais.

Restringir navegador e extensões de cliente de e-mail desnecessárias ou não autorizadas:

Restrinja, por meio da desinstalação ou desativação, plug-ins, extensões e aplicações complementares de cliente de e-mail ou navegador não autorizados ou desnecessários.

Implementar DMARC:

Para reduzir a chance de e-mails falsificados ou modificados de domínios válidos, implemente a política e a verificação do DMARC, começando com a implementação dos padrões Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM).

Bloquear tipos de arquivo desnecessários:

Bloquear tipos de arquivo desnecessários que tentam entrar no gateway de e-mail da empresa.

Implantar e manter proteções antimalware do servidor de e-mail:

Implantar e manter proteções antimalware do servidor de e-mail, como verificação de anexos e/ou área restrita.

Implantar e manter software antimalware:

Implantar e manter software antimalware em todos os ativos empresariais.

Configurar Atualizações automáticas de assinatura antimalware:

Configure atualizações automáticas para arquivos de assinatura antimalware em todos os ativos empresariais.

Desabilitar execução automática e reprodução automática para mídia removível:

Desabilite a funcionalidade de execução automática e de reprodução automática para mídia removível.

Configurar verificação antimalware automática de mídia removível:

Configure o software antimalware para verificar automaticamente a mídia removível.

Habilitar recursos antiexploração:

Habilite recursos antiexploração em ativos e software empresariais, sempre que possível, como Microsoft Prevenção de execução de dados (DEP), Windows Defender Exploit Guard (WDEG) ou Apple Proteção de integridade do sistema (SIP) e Gatekeeper ™.

Gerenciar centralmente o software antimalware:

Gerencie centralmente o software antimalware.

Usar software antimalware baseado em comportamento:

Use software antimalware baseado em comportamento.

Estabelecer e manter um processo de recuperação de dados :

Estabelecer e manter um processo de recuperação de dados. No processo, aborde o escopo das atividades de recuperação de dados, a priorização de recuperação e a segurança dos dados de backup. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Executar backups automatizados :

Execute backups automatizados de ativos empresariais no escopo. Execute backups semanalmente ou com mais frequência, com base na confidencialidade dos dados.

Proteger dados de recuperação:

Proteja os dados de recuperação com controles equivalentes aos dados originais. Criptografia de referência ou separação de dados, com base em requisitos.

Estabelecer e manter uma instância isolada de dados de recuperação :

Estabelecer e manter uma instância isolada de dados de recuperação. Implementações de exemplo incluem destinos de backup de controle de versão por meio de sistemas ou serviços off-line, em nuvem ou fora do local.

Recuperação de dados de teste:

Teste a recuperação de backup trimestralmente ou com mais frequência para obter uma amostra de ativos empresariais no escopo.

Certifique-se de que a infraestrutura de rede esteja atualizada:

Certifique-se de que a infraestrutura de rede seja mantida atualizada. As implementações de exemplo incluem a execução da versão estável mais recente do software e/ou o uso de ofertas de rede como serviço (Naas) atualmente compatíveis. Revise as versões do software mensalmente ou com mais frequência para verificar o suporte ao software.

Estabelecer e manter uma arquitetura de rede segura:

Estabelecer e manter uma arquitetura de rede segura. Uma arquitetura de rede segura deve abordar a segmentação, o privilégio mínimo e a disponibilidade, no mínimo.

Gerencie com segurança a infraestrutura de rede:

Gerencie com segurança a infraestrutura de rede. Implementações de exemplo incluem infraestrutura controlada por versão como código e o uso de protocolos de rede seguros, como SSH e HTTPS.

Estabelecer e manter diagrama(s) de arquitetura:

Estabelecer e manter diagramas de arquitetura e/ou outra documentação do sistema de rede. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Centralize Autenticação, autorização e auditoria de rede (AAA):

Rede AAA centralizada.

Gestão de rede segura e protocolos de comunicação :

Use protocolos de comunicação e gestão de rede seguros (por exemplo, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise ou superior).

Certifique-se de que os dispositivos remotos utilizem uma VPN e estejam se conectando à infraestrutura AAA de uma empresa:

Exigir que os usuários se autentiquem em VPN gerenciada pela empresa e nos serviços de autenticação antes de acessar recursos empresariais em dispositivos de usuário final.

Estabelecer e manter recursos de computação dedicados para todo o trabalho administrativo:

Estabelecer e manter recursos de computação dedicados, separados física ou logicamente, para todas as tarefas administrativas ou tarefas que exijam acesso administrativo. Os recursos de computação devem ser segmentados da rede primária da empresa e não ter acesso à Internet.

Alertas de evento de segurança centralize:

Centralize alertas de eventos de segurança em ativos empresariais para correlação e análise de log. A implementação de prática recomendada requer o uso de um SIEM, que inclui alertas de correlação de eventos definidos pelo fornecedor. Uma plataforma de análise de log configurada com alertas de correlação relevantes para a segurança também atende a essa proteção.

Executar filtragem de camada de aplicação:

Execute a filtragem da camada de aplicação. Exemplos de implementações incluem um proxy de filtragem, firewall de camada de aplicação ou gateway.

Ajustar limites de alertas de evento de segurança:

Ajuste os limites de alerta de evento de segurança mensalmente ou com mais frequência.

Implantar uma solução de detecção de invasão baseada em host:

Implante uma solução de detecção de invasão baseada em host em ativos empresariais, quando apropriado e/ou compatível.

Implantar uma solução de detecção de invasão de rede:

Implante uma solução de detecção de invasão de rede em ativos empresariais, quando apropriado. As implementações de exemplo incluem o uso de um NIDS (Network Intrusion Detection System, sistema de detecção de invasão de rede) ou um serviço CSP (Cloud Service Provider, provedor de serviços de nuvem) equivalente.

Executar filtragem de tráfego entre segmentos de rede:

Execute a filtragem de tráfego entre segmentos de rede, quando apropriado.

Gerenciar controle de acesso para ativos remotos:

Gerencie o controle de acesso para ativos conectados remotamente a recursos empresariais. Determine a quantidade de acesso aos recursos da empresa com base em: Software antimalware atualizado instalado; conformidade da configuração com o processo de configuração seguro da empresa e garantia de que o sistema operacional e as aplicações estejam atualizados.

Coletar logs de fluxo de tráfego de rede:

Colete logs de fluxo de tráfego de rede e/ou tráfego de rede para revisar e alertar sobre os dispositivos de rede.

Implantar uma solução de prevenção de invasão baseada em host:

Implante uma solução de prevenção de invasão baseada em host em ativos empresariais, quando apropriado e/ou compatível. Exemplos de implementações incluem o uso de um cliente de detecção e resposta de endpoint (EDR) ou agente IPS baseado em host.

Implantar uma solução de prevenção de invasão de rede:

Implante uma solução de prevenção de invasão de rede, quando apropriado. Exemplos de implementações incluem o uso de um NIPS (Network Intrusion Prevention System, sistema de prevenção de invasão de rede) ou serviço CSP equivalente.

Implantar controle de acesso no nível da porta:

Implantar controle de acesso no nível de porta. O controle de acesso no nível de porta utiliza 802.1x ou protocolos de controle de acesso de rede semelhantes, como certificados, e pode incorporar autenticação de usuário e/ou dispositivo.

Estabelecer e manter um Programa de conscientização de segurança:

Estabelecer e manter um programa de conscientização de segurança. O objetivo de um programa de conscientização de segurança é educar a força de trabalho da empresa sobre como interagir com ativos e dados empresariais de maneira segura. Conduzir treinamento na contratação e, no mínimo, anualmente. Revise e atualize o conteúdo anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Treinar membros da força de trabalho para reconhecer ataques de engenharia social:

Treine os membros da força de trabalho para reconhecer ataques de engenharia social, como phishing, pré-envio de mensagens de texto e não uso autorizado. 

Treinar membros da força de trabalho sobre as práticas recomendadas de autenticação:

Treine os membros da força de trabalho sobre as práticas recomendadas de autenticação. Exemplos de tópicos incluem MFA, composição de senha e gestão de credenciais.

Treine a força de trabalho nas práticas recomendadas de manipulação de dados:

Treine os membros da força de trabalho sobre como identificar e armazenar, transferir, arquivar e destruir corretamente dados confidenciais. Isso também inclui o treinamento dos membros da força de trabalho em telas limpas e práticas recomendadas da mesa, como bloquear a tela quando eles se afastam de seus ativos empresariais, apagar quadros brancos físicos e virtuais no final das reuniões e armazenar dados e ativos com segurança.

Treinar membros da força de trabalho sobre as causas da exposição não intencional de dados:

Treine os membros da força de trabalho para estarem cientes das causas da exposição não intencional de dados. Exemplos de tópicos incluem entrega incorreta de dados confidenciais, perda de um dispositivo portátil de usuário final ou publicação de dados para públicos não intencionais.

Treinar membros da força de trabalho no reconhecimento e relato de incidentes de segurança:

Treine os membros da força de trabalho para serem capazes de reconhecer um possível incidente e ser capaz de relatar esse incidente. 

Treine a força de trabalho sobre como identificar e relatar se seus ativos empresariais não têm atualizações de segurança:

Treine a força de trabalho para entender como verificar e relatar patches de software desatualizados ou quaisquer falhas em processos e ferramentas automatizados. Parte deste treinamento deve incluir notificar a equipe DE TI sobre quaisquer falhas em processos e ferramentas automatizadas.

Treine a força de trabalho sobre os perigos de se conectar e transmitir dados empresariais por redes inseguras:

Treine os membros da força de trabalho sobre os perigos de se conectar e transmitir dados por redes inseguras para atividades empresariais. Se a empresa tiver trabalhadores remotos, o treinamento deverá incluir orientação para garantir que todos os usuários configurem com segurança sua infraestrutura de rede doméstica.

Conduzir treinamento de habilidades e conscientização de segurança específica da função:

Conduzir conscientização de segurança e treinamento de habilidades específicas da função. Exemplos de implementações incluem cursos de administração de sistema seguro para profissionais DE TI (OWASP ™10 principais treinamentos de conscientização e prevenção de vulnerabilidades para desenvolvedores de aplicações web e treinamento avançado de conscientização em engenharia social para funções de alto perfil.

Estabelecer e manter um inventário de provedores de serviço:

Estabelecer e manter um inventário de provedores de serviço. O inventário deve listar todos os provedores de serviço conhecidos, incluir classificações e designar um contato empresarial para cada provedor de serviços. Revise e atualize o inventário anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Estabelecer e manter uma Política de gestão de provedores de serviços:

Estabelecer e manter uma política de gestão de provedor de serviços. Certifique-se de que a política atenda à classificação, inventário, avaliação, monitoramento e desativação de provedores de serviço. Revise e atualize a política anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Classificar provedores de serviço:

Classificar provedores de serviço. A consideração de classificação pode incluir uma ou mais características, como confidencialidade de dados, volume de dados, requisitos de disponibilidade, regulamentações aplicáveis, risco inerente, e risco mitigado. Atualize e revise classificações anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Certifique-se de que os contratos do provedor de serviços incluam requisitos de segurança:

Certifique-se de que os contratos do provedor de serviços incluam requisitos de segurança. Requisitos de exemplo podem incluir requisitos mínimos do programa de segurança, incidentes de segurança e/ou notificação e resposta de violação de dados, requisitos de criptografia de dados e compromissos de descarte de dados. Esses requisitos de segurança devem ser consistentes com a política de gestão de provedores de serviços da empresa. Revise os contratos do provedor de serviços anualmente para garantir que os contratos não estejam sem requisitos de segurança.

Avaliar provedores de serviço:

Avalie os provedores de serviço consistentes com a política de gestão de provedores de serviços da empresa. O escopo da avaliação pode variar com base na classificação(ões) e pode incluir a revisão de relatórios de avaliação padronizados, como SOC 2 (Controle da organização de serviços 2) e Certificação de conformidade (AOC) do setor de cartões de pagamento (PCI), questionários personalizados ou outros processos adequadamente rigorosos. Reavalie os provedores de serviços anualmente, no mínimo, ou com contratos novos e renovados.

Avaliar provedores de serviço:

Avalie os provedores de serviço consistentes com a política de gestão de provedores de serviços da empresa. O escopo da avaliação pode variar com base na classificação(ões) e pode incluir a revisão de relatórios de avaliação padronizados, como SOC 2 (Controle da organização de serviços 2) e Certificação de conformidade (AOC) do setor de cartões de pagamento (PCI), questionários personalizados ou outros processos adequadamente rigorosos. Reavalie os provedores de serviços anualmente, no mínimo, ou com contratos novos e renovados.

Provedores de serviço de monitoramento:

Monitore provedores de serviço consistentes com a política de gestão de provedores de serviços da empresa. O monitoramento pode incluir reavaliação periódica da conformidade do provedor de serviço, monitoramento de notas de versão do provedor de serviço e monitoramento da dark web.

Descontinuar provedores de serviço com segurança:

Desativar provedores de serviço com segurança. Exemplos de considerações incluem desativação de conta de serviço e usuário, encerramento de fluxos de dados e descarte seguro de dados empresariais nos sistemas do provedor de serviços.

Estabelecer e manter um processo seguro de desenvolvimento de aplicações:

Estabelecer e manter um processo de desenvolvimento de aplicações seguro. No processo, aborde itens como: Padrões de design de aplicações seguras, práticas de codificação seguras, treinamento de desenvolvedores, gestão de vulnerabilidades, segurança de código de terceiros e procedimentos de teste de segurança de aplicações. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Aplicar princípios de design seguro em arquiteturas de aplicações:

Aplique princípios de design seguro em arquiteturas de aplicações. Os princípios de design seguro incluem o conceito de privilégio mínimo e imposição de mediação para validar todas as operações que o usuário faz, promovendo o conceito de "nunca confiar na entrada do usuário". Os exemplos incluem garantir que a verificação de erros explícita seja realizada e documentada para todas as entradas, incluindo tamanho, tipo de dados e intervalos ou formatos aceitáveis. Um design seguro também significa minimizar a superfície de ataque à infraestrutura de aplicações, como desativar portas e serviços desprotegidos, remover programas e arquivos desnecessários e renomear ou remover contas padrão.

Aproveite módulos ou serviços verificados para componentes de segurança de aplicações:

Aproveite módulos ou serviços verificados para componentes de segurança de aplicações, como gestão de identidade, criptografia e auditoria e registro em log. Usar recursos da plataforma em funções de segurança críticas reduzirá a carga de trabalho dos desenvolvedores e minimizará a probabilidade de erros de design ou implementação. Os sistemas operacionais modernos fornecem mecanismos eficazes para identificação, autenticação e autorização e tornam esses mecanismos disponíveis para as aplicações. Use somente algoritmos de criptografia padronizados, aceitos atualmente e amplamente revisados. Os sistemas operacionais também fornecem mecanismos para criar e manter logs de auditoria seguros.

Implementar verificações de segurança no nível de código:

Aplique ferramentas de análise estática e dinâmica no ciclo de vida da aplicação para verificar se as práticas de codificação seguras estão sendo seguidas.

Conduzir testes de invasão da aplicação:

Conduzir testes de invasão da aplicação. Para aplicações críticas, o teste de invasão autenticado é mais adequado para encontrar vulnerabilidades de lógica de negócios do que a verificação de código e o teste de segurança automatizado. O teste de invasão depende da habilidade do testador de manipular manualmente uma aplicação como um usuário autenticado e não autenticado. 

Conduzir modelagem de ameaças:

Conduzir modelagem de ameaças. A modelagem de ameaças é o processo de identificar e lidar com falhas de design de segurança da aplicação em um design, antes que o código seja criado. Isso é realizado por indivíduos especialmente treinados que avaliam o design da aplicação e avaliam os riscos de segurança para cada ponto de entrada e nível de acesso. O objetivo é mapear a aplicação, a arquitetura e a infraestrutura de forma estruturada para entender seus pontos fracos.

Estabelecer e manter um processo para aceitar e lidar com vulnerabilidades de software:

Estabelecer e manter um processo para aceitar e lidar com relatórios de vulnerabilidades de software, incluindo fornecer um meio para que entidades externas relatem. O processo deve incluir itens como: Uma política de tratamento de vulnerabilidades que identifica o processo de emissão de relatórios, a parte responsável por lidar com relatórios de vulnerabilidades e um processo para testes de admissão, atribuição, correção e correção. Como parte do processo, use um sistema de acompanhamento de vulnerabilidades que inclua classificações de gravidade e métricas para medir o tempo de identificação, análise e correção de vulnerabilidades. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças empresariais significativas que possam afetar essa proteção.

Executar análise de causa raiz em vulnerabilidades de segurança:

Execute análise de causa raiz em vulnerabilidades de segurança. Ao revisar vulnerabilidades, a análise de causa raiz é a tarefa de avaliar problemas subjacentes que criam vulnerabilidades no código e permite que as equipes de desenvolvimento avancem além de apenas corrigir vulnerabilidades individuais à medida que elas surgem.

Estabelecer e gerenciar um inventário de componentes de software de terceiros:

Estabelecer e gerenciar um inventário atualizado de componentes de terceiros usados no desenvolvimento, geralmente chamados de "lista de materiais", bem como componentes programados para uso futuro. Este inventário deve incluir todos os riscos que cada componente de terceiros possa representar. Avalie a lista pelo menos uma vez por mês para identificar mudanças ou atualizações nesses componentes e validar se o componente ainda é compatível. 

Componentes de software de terceiros atualizados e confiáveis:

Use componentes de software de terceiros atualizados e confiáveis. Quando possível, escolha estruturas e bibliotecas estabelecidas e comprovadas que forneçam segurança adequada. Adquira esses componentes de fontes confiáveis ou avalie o software em busca de vulnerabilidades antes do uso.

Estabelecer e manter um sistema de classificação de gravidade e um processo para vulnerabilidades da aplicação:

Estabelecer e manter um sistema de classificação de gravidade e um processo para vulnerabilidades da aplicação que facilita a priorização da ordem na qual as vulnerabilidades descobertas são corrigidas. Este processo inclui a definição de um nível mínimo de aceitabilidade de segurança para liberar código ou aplicações. As classificações de gravidade trazem uma maneira sistemática de triagem de vulnerabilidades que melhora a gestão de riscos e ajuda a garantir que os erros mais graves sejam corrigidos primeiro. Revise e atualize o sistema e o processo anualmente.

Usar modelos de configuração de proteção padrão para infraestrutura de aplicações:

Use modelos de configuração de proteção padrão recomendados pelo setor para componentes de infraestrutura de aplicações. Isso inclui servidores subjacentes, bancos de dados e servidores web e se aplica a contêineres de nuvem, componentes de plataforma como serviço (PaaS) e componentes de SaaS. Não permita que o software desenvolvido internamente enfraqueça a proteção da configuração.

Produção separada e sistemas de não produção:

Mantenha ambientes separados para sistemas de produção e não produção.

Treinar desenvolvedores em conceitos de segurança de aplicações e codificação segura:

Certifique-se de que toda a equipe de desenvolvimento de software receba treinamento em escrita de código seguro para seu ambiente de desenvolvimento específico e responsabilidades. O treinamento pode incluir princípios gerais de segurança e práticas padrão de segurança de aplicações. Conduza treinamento pelo menos uma vez por ano e projete de forma a promover a segurança na equipe de desenvolvimento e crie uma cultura de segurança entre os desenvolvedores.

Designar pessoal para gerenciar o tratamento de incidentes:

Designe uma pessoa-chave e pelo menos um backup que gerenciará o processo de tratamento de incidentes da empresa. A equipe de gestão é responsável pela coordenação e documentação dos esforços de resposta e recuperação de incidentes e pode consistir em funcionários internos da empresa, fornecedores terceirizados ou uma abordagem híbrida. Se estiver usando um fornecedor terceirizado, designe pelo menos uma pessoa interna da empresa para supervisionar qualquer trabalho de terceiros. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Estabelecer e manter informações de contato para relatar incidentes de segurança:

Estabelecer e manter informações de contato para partes que precisam ser informadas sobre incidentes de segurança. Os contatos podem incluir equipe interna, fornecedores terceirizados, autoridades policiais, provedores de seguro cibernético, agências governamentais relevantes, parceiros do Centro de análise e compartilhamento de informações (ISAC) ou outras partes interessadas. Verifique os contatos anualmente para garantir que as informações estejam atualizadas.

Estabelecer e manter um processo empresarial para relatar incidentes:

Estabeleça e mantenha um processo empresarial para a força de trabalho relatar incidentes de segurança. O processo inclui o cronograma de emissão de relatórios, a equipe a ser relatada, o mecanismo de emissão de relatórios e as informações mínimas a serem relatadas. Certifique-se de que o processo esteja publicamente disponível para toda a força de trabalho. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Estabelecer e manter um processo de resposta a incidentes:

Estabelecer e manter um processo de resposta a incidentes que aborda funções e responsabilidades, requisitos de conformidade e um plano de comunicação. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Atribuir Funções e Responsabilidades Principais:

Atribuir funções e responsabilidades principais para resposta a incidentes, incluindo equipe jurídica, DE TI, segurança da informação, instalações, relações públicas, recursos humanos, respondentes a incidentes e analistas, conforme aplicável. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Definir mecanismos para comunicação durante a resposta do incidente:

Determine quais mecanismos primários e secundários serão usados para se comunicar e relatar durante um incidente de segurança. Os mecanismos podem incluir chamadas telefônicas, e-mails ou cartas. Lembre-se de que determinados mecanismos, como e-mails, podem ser afetados durante um incidente de segurança. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Conduzir exercícios de resposta a incidentes de rotina:

Planeje e conduza exercícios e cenários de resposta a incidentes de rotina para a equipe-chave envolvida no processo de resposta a incidentes para se preparar para responder a incidentes do mundo real. Os exercícios precisam testar canais de comunicação, tomada de decisão e fluxos de trabalho. Realize testes anualmente, no mínimo.

Conduzir revisões pós-incidente:

Conduzir revisões pós-incidente. As revisões pós-incidente ajudam a evitar a recorrência do incidente por meio da identificação das lições aprendidas e da ação de acompanhamento.

Estabelecer e manter limites de incidentes de segurança:

Estabelecer e manter limites de incidente de segurança, incluindo, no mínimo, diferenciar um incidente e um evento. Os exemplos podem incluir: Atividade anormal, vulnerabilidade de segurança, fraqueza de segurança, violação de dados, incidente de privacidade, etc. Revise anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar essa proteção.

Estabelecer e manter um programa de teste de invasão:

Estabelecer e manter um programa de teste de invasão apropriado ao tamanho, à complexidade e à maturidade da empresa. As características do programa de teste de invasão incluem escopo, como rede, aplicação da Web, API (Application Programming Interface, Interface de programação de aplicações), serviços hospedados e controles de instalações físicas; frequência; limitações, como horas aceitáveis e tipos de ataque excluídos; informações do ponto de contato; correção, como como como como as descobertas serão roteadas internamente; e requisitos retrospectivos.

Executar testes de invasão externa periódicos:

Execute testes de invasão externa periódicos com base nos requisitos do programa, pelo menos anualmente. Os testes de invasão externa devem incluir reconhecimento empresarial e ambiental para detectar informações exploráveis. Os testes de invasão exigem habilidades e experiência especializadas e devem ser realizados por meio de uma parte qualificada. O teste pode ser uma caixa transparente ou opaca.

Corrigir descobertas do teste de invasão:

Corrija as descobertas do teste de invasão com base na política da empresa para escopo de correção e priorização.

Validar medidas de segurança:

Valide as medidas de segurança após cada teste de invasão. Se considerado necessário, modifique conjuntos de regras e capacidades para detectar as técnicas usadas durante o teste.

Utilize uma ferramenta de descoberta ativa para identificar dispositivos conectados à rede da organização e atualizar o inventário de ativos de hardware.

Utilize uma ferramenta de descoberta passiva para identificar dispositivos conectados à rede da organização e atualizar automaticamente o inventário de ativos de hardware da organização.

Mantenha um inventário preciso e atualizado de todos os ativos de tecnologia com potencial para armazenar ou processar informações. Este inventário deve incluir todos os ativos de hardware, conectados à rede da organização ou não.

Certifique-se de que o inventário de ativos de hardware registre o endereço de rede, o endereço de hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Utilize o controle de acesso no nível de porta, seguindo os padrões 802.1x, para controlar quais dispositivos podem autenticar na rede. O sistema de autenticação deve ser vinculado aos dados de inventário de ativos de hardware para garantir que somente dispositivos autorizados possam se conectar à rede.

Use certificados de cliente para autenticar ativos de hardware que se conectam à rede confiável da organização.

Mantenha uma lista atualizada de todos os softwares autorizados necessários na empresa para qualquer finalidade comercial em qualquer sistema de negócios.

Certifique-se de que somente aplicações de software ou sistemas operacionais atualmente compatíveis com o fornecedor do software sejam adicionados ao inventário de software autorizado da organização. O software incompatível deve ser marcado como incompatível no sistema de inventário.

Utilize ferramentas de inventário de software em toda a organização para automatizar a documentação de todos os softwares nos sistemas de negócios.

O sistema de inventário de software deve rastrear o nome, a versão, o fornecedor e a data de instalação de todos os softwares, incluindo os sistemas operacionais autorizados pela organização.

O sistema de inventário de software deve ser vinculado ao inventário de ativos de hardware para que todos os dispositivos e softwares associados sejam rastreados a partir de um único local.

Utilize uma ferramenta de verificação de vulnerabilidades atualizada em conformidade com SCAP para verificar automaticamente todos os sistemas na rede semanalmente ou com mais frequência para identificar todas as possíveis vulnerabilidades nos sistemas da organização.

Execute verificação de vulnerabilidades autenticadas com agentes em execução localmente em cada sistema ou com scanners remotos configurados com direitos elevados no sistema que está sendo testado.

Compare regularmente os resultados de verificações de vulnerabilidade back-to-back para verificar se as vulnerabilidades foram corrigidas em tempo hábil.

Antes de implantar qualquer novo ativo, altere todas as senhas padrão para que tenham valores consistentes com as contas de nível administrativo.

Quando a autenticação multifator não for compatível (como administrador local, raiz ou contas de serviço), as contas usarão senhas exclusivas desse sistema.

Configure sistemas para emitir uma entrada de log e alertar quando uma conta for adicionada ou removida de qualquer grupo atribuído a privilégios administrativos.

Configure sistemas para emitir uma entrada de log e alertar sobre logins malsucedidos em uma conta administrativa.

Certifique-se de que o registro em log local tenha sido habilitado em todos os sistemas e dispositivos de rede.

Habilitar registro em log do sistema para incluir informações detalhadas, como origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.

Certifique-se de que somente navegadores da Web e clientes de e-mail totalmente compatíveis tenham permissão para executar na organização, idealmente usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Qualquer software AV de classe empresarial terá essa capacidade. Ao ter um AV gerenciado centralmente, você pode habilitar facilmente requisitos individuais.

O AV é tão bom quanto suas assinaturas. Embora a detecção baseada em assinatura pura não seja mais viável, até mesmo os mecanismos baseados em anomalias precisam ser atualizados regularmente. Certifique-se de que as atualizações sejam implantadas automaticamente e use ferramentas para verificar se as assinaturas estão realmente atualizadas.

Os guias de proteção da DISA fornecem instruções passo a passo sobre como habilitar essas configurações e muito mais.

A maioria dos AVS tem esse recurso ativado por padrão, mas ainda é importante verificar se ele ainda está habilitado. O malware que chega por meio de um dispositivo USB é um vetor de ataque viável para quase todas as organizações.

Pelo mesmo motivo pelo qual você não deseja verificá-lo, você também não quer que ele seja executado quando estiver montado. Esta é uma configuração muito rápida para habilitar, e os guias de proteção do CIS e do DISA têm instruções passo a passo sobre como desabilitar a execução automática. Algumas ferramentas de SCM podem verificar rapidamente cada endpoint em seu ambiente para garantir que essa configuração esteja desabilitada.

Execute verificações automatizadas de porta regularmente em todos os sistemas e alerte se portas não autorizadas forem detectadas em um sistema.

Compare todas as configurações do dispositivo de rede com as configurações de segurança aprovadas definidas para cada dispositivo de rede em uso e alerte quando algum desvio for descoberto.

Instale a versão estável mais recente de todas as atualizações relacionadas à segurança em todos os dispositivos de rede.

Implante sensores de Sistemas de detecção de invasão (IDS) baseados em rede para procurar mecanismos de ataque incomuns e detectar o comprometimento desses sistemas em cada um dos limites de rede da organização.

Remova dados confidenciais ou sistemas não acessados regularmente pela organização da rede. Esses sistemas só devem ser usados como sistemas autônomos (desconectados da rede) pela unidade de negócios que precise usar ocasionalmente o sistema ou completamente virtualizados e desligados até que seja necessário.

Fornecer treinamento aos funcionários para que eles estejam cientes dos riscos dos dados em unidades USB. Em seguida, forneça as ferramentas para proteger os dados críticos da sua organização.

Criptografe todas as informações confidenciais em trânsito.

Mantenha um inventário de pontos de acesso sem fio autorizados conectados à rede com fio.

Mantenha um inventário de cada um dos sistemas de autenticação da organização, incluindo aqueles localizados no local ou em um provedor de serviços remoto.

Criptografe ou hash com um salt todas as credenciais de autenticação quando armazenadas.

Certifique-se de que todos os nomes de usuário da conta e as credenciais de autenticação sejam transmitidos entre redes usando canais criptografados.

Bloquear automaticamente as sessões da estação de trabalho após um período padrão de inatividade.

Alerte quando os usuários se desviarem do comportamento normal de login, como hora do dia, local da estação de trabalho e duração.

Use somente algoritmos de criptografia padronizados e amplamente revisados.

Estabeleça um processo para aceitar e lidar com relatórios de vulnerabilidades de software, incluindo fornecer um meio para que entidades externas entrem em contato com seu grupo de segurança.

Atribua cargos e deveres para lidar com incidentes de computador e rede a indivíduos específicos e garanta o acompanhamento e a documentação durante todo o incidente por meio da resolução.

Designe a equipe de gestão, bem como backups, que darão suporte ao processo de tratamento de incidentes atuando em funções importantes de tomada de decisão.

Publique informações para todos os membros da força de trabalho sobre relatar anomalias de computador e incidentes à equipe de tratamento de incidentes. Essas informações devem ser incluídas nas atividades de conscientização de rotina do funcionário.

Defina uma "política de segurança da informação" que seja aprovada pela gestão e que defina a abordagem da empresa para gerenciar seus objetivos de segurança da informação. A política de segurança da informação é apoiada por políticas específicas de tópicos, que exigem ainda a implementação de controles de segurança da informação para incluir: Controle de acesso; classificação (e manipulação) de informações; segurança física e ambiental; backup; transferência de informações; proteção contra malware; gestão de vulnerabilidades técnicas; controles criptográficos; segurança de comunicações; privacidade e proteção de informações pessoalmente identificáveis; relacionamentos com fornecedores e tópicos orientados para o usuário final, como: 1 4) uso aceitável de ativos; 2) mesa limpa e tela clara; 3) 5) restrições na instalação e uso de software.

Certifique-se de que as responsabilidades pela proteção de ativos individuais sejam identificadas no inventário de ativos. Certifique-se de que as funções e responsabilidades para o desenvolvimento e a implementação da segurança da informação estejam claramente definidas.

Utilize software de criptografia de disco inteiro aprovado para criptografar o disco rígido de todos os dispositivos móveis.

Impor políticas de acesso remoto para funcionários e prestadores de serviços.

Certifique-se de que a verificação de histórico seja realizada para todos os funcionários e prestadores de serviços antes de conceder acesso aos ativos da empresa.

Todos os funcionários ou prestadores de serviço recém-contratados assinaram e concordaram com os termos e condições de emprego, incluindo sua responsabilidade pela segurança da informação.

Certifique-se de que o inventário de ativos de hardware registre o endereço de rede, o endereço de hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Certifique-se de que o inventário de ativos de hardware registre o endereço de rede, o endereço de hardware, o nome da máquina, o proprietário do ativo de dados e o departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede.

Certifique-se de que os funcionários e prestadores de serviços estejam cientes dos requisitos de segurança da informação dos ativos da organização associados às instalações e recursos de processamento de informações e informações. Devem ser responsáveis pela sua utilização de quaisquer recursos de processamento de informação e de qualquer utilização efetuada sob a sua responsabilidade.

Use certificados de cliente para autenticar ativos de hardware que se conectam à rede confiável da organização.

Todo o acesso de login remoto à rede da organização para criptografar dados em trânsito e usar autenticação multifator.

Quando a autenticação multifator não for compatível (como administrador local, raiz ou contas de serviço), as contas usarão senhas exclusivas desse sistema.

Certifique-se de que a política relacionada à criptografia exista e seja aplicada, implementada e aplicada de acordo com os requisitos de classificação de dados.

Certifique-se de que o gerenciamento de chaves de criptografia seja gerenciado seguindo uma política formal e um procedimento para todo o ciclo de vida da chave.

Certifique-se de que a política de mesa limpa seja adaptada por funcionários e prestadores de serviços.

Certifique-se de que somente navegadores da Web e clientes de e-mail totalmente compatíveis tenham permissão para executar na organização, idealmente usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Certifique-se de que somente navegadores da Web e clientes de e-mail totalmente compatíveis tenham permissão para executar na organização, idealmente usando somente a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor.

Certifique-se de que o registro em log local tenha sido habilitado em todos os sistemas e dispositivos de rede.

Certifique-se de que os logs estejam protegidos com segurança contra acesso não autorizado.

Impor registro em log de auditoria detalhado para acesso a dados confidenciais ou mudanças em dados confidenciais (usando ferramentas como Monitoramento de integridade de arquivo ou Monitoramento de eventos e informações de segurança).

Certifique-se de que políticas, procedimentos e controles formais de transferência estejam em vigor para proteger a transferência de informações por meio do uso de todos os tipos de recursos de comunicação.

Garantir que os requisitos relacionados à segurança da informação sejam incluídos nos requisitos para novos sistemas de informação ou melhorias nos sistemas de informação existentes.

Certifique-se de que as aplicações críticas para os negócios sejam revisadas e testadas para garantir que não haja impacto adverso nas operações ou na segurança da organização sempre que houver mudanças nas plataformas operacionais.

Certifique-se de que as modificações nos pacotes de software sejam desencorajadas ou limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas.

Testes de segurança, como revisões de código seguro e verificação de vulnerabilidades, sejam realizados durante o ciclo de vida de desenvolvimento. Certifique-se de que as vulnerabilidades identificadas sejam documentadas e a correção seja realizada.

Certifique-se de que o teste de aceitação do sistema inclua o teste de requisitos de segurança da informação e a adesão às práticas seguras de desenvolvimento do sistema.

Certifique-se de que o teste de aceitação do sistema inclua o teste de requisitos de segurança da informação e a adesão às práticas seguras de desenvolvimento do sistema.

Certifique-se de que os controles de segurança da informação sejam abordados e resolvidos com o fornecedor antes de conduzir negócios ou conceder acesso ao fornecedor aos ativos.

Certifique-se de que a avaliação de risco seja realizada antes de fazer negócios e conceder aos fornecedores acesso aos ativos e controles e requisitos de segurança sejam acordados e documentados no acordo de fornecedores/fornecedores.

Certifique-se de que o fornecedor esteja monitorando e revise regularmente para garantir que os termos e condições de segurança da informação dos acordos estejam sendo seguidos e que os incidentes e problemas de segurança da informação sejam gerenciados corretamente.

Garantir que a avaliação de risco de terceiros seja realizada sempre que houver mudanças na provisão de serviços. Certifique-se de que as mudanças na provisão de serviços pelos fornecedores, incluindo a manutenção e melhoria das políticas, procedimentos e controles de segurança da informação existentes, sejam gerenciadas.

Certifique-se de que haja um programa formal de Gestão de incidentes em vigor e que todos os funcionários e terceiros sejam treinados sobre como reconhecer e relatar incidentes de segurança.

Certifique-se de que haja uma gestão formal de eventos de segurança da informação para incluir a escala de classificação de incidentes e eventos de segurança acordados para emissão de relatórios e escalação. Certifique-se de que o esquema de classificação de ameaça e risco esteja documentado. Certifique-se de que as notificações de resposta a incidentes sejam mantidas. Certifique-se de que os limites de impacto a serem usados na categorização de incidentes estejam documentados.

Certifique-se de que os incidentes de segurança da informação sejam respondidos e gerenciados de acordo com os procedimentos documentados.

Certifique-se de que os procedimentos de monitoramento de incidentes sejam incluídos no Programa de gestão de incidentes para documentar incidentes e garantir que os eventos de segurança sejam analisados periodicamente para reduzir incidentes futuros.

Garantir que a segurança da informação e a continuidade da gestão da segurança da informação sejam planejadas e incluídas no plano de continuidade de negócios ou no plano de recuperação de desastre.

A continuidade de negócios ou o plano de recuperação de desastre sejam documentados formalmente.

Garantir que o plano de continuidade de negócios ou recuperação de desastre seja um exercício anual para validar se o controle de segurança adequado é válido e eficaz durante a situação adversa.

Certifique-se de que os componentes de failover e recuperação funcionem conforme pretendido.

Garantir que os registros e os dados estejam protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos legislativos, regulatórios, contratuais e comerciais.

Garantir que a privacidade e a proteção das informações de identificação pessoal sejam protegidas e tratadas de acordo com a legislação e regulamentação, quando aplicável.

Certifique-se de que os testes da configuração dos sistemas no escopo em relação aos requisitos regulatórios e de conformidade sejam realizados regularmente. Certifique-se de que os padrões de configuração de linha de base para sistemas sejam documentados e baseados nas práticas recomendadas do setor.

Certifique-se de que o processo de rescisão seja formalizado para incluir a devolução de todos os ativos físicos e eletrônicos emitidos anteriormente de propriedade ou confiados à empresa.

• Perfis de RH [sn_hr_core_profile]
• Ativo [alm_asset]

Certifique-se de que os ativos de software sejam gerenciados e atualizados regularmente.

• Software Asset Management Core
• Núcleo de Software Asset Management Professional

• Instalação de software [cmdb_sam_sw_install]
• Modelos de software [cmdb_software_product_model]

Utilize um processo de classificação de risco para priorizar a correção de vulnerabilidades descobertas.

Desinstalar ou desabilitar qualquer navegador não autorizado ou plug-ins de cliente de e-mail ou aplicações de complemento.

• Software Asset Management Core
• Núcleo de Software Asset Management Professional

• Instalação de software [cmdb_sam_sw_install]
• Modelos de software [cmdb_software_product_model]

Estabeleça práticas de codificação seguras apropriadas para a linguagem de programação e o ambiente de desenvolvimento que estão sendo usados.

Certifique-se de que haja planos de resposta a incidentes por escrito que definam as funções da equipe, bem como as fases de tratamento/gestão de incidentes.