Uma organização de médio porte está priorizando a implementação dos Controles de Segurança CIS v8 e possui os seguintes recursos:
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.
O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).
Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.
- A Implementar todos os 153 safeguards dos três IGs simultaneamente para garantir proteção abrangente, utilizando ferramentas open-source para reduzir custos.
- B Focar exclusivamente nos 6 CIS Controls básicos (1- Inventory of Assets; 2- Inventory of Software; 3- Data Protection; 4- Secure Configuration; 5- Account Management; 6- Access Control Management), implementando todos os safeguards desses controles.
- C Implementar prioritariamente os 56 safeguards do IG1, focando inicialmente nos controles 1 (Inventário de Ativos) e 2 (Inventário de Software) como fundação, depois 4 (Configuração Segura), 5 (Gestão de Contas) e 6 (Controle de Acesso), seguindo a ordem de prioridade recomendada.
- D Começar pelos controles mais avançados do IG3, como Penetration Testing e Red Team Exercises, pois são os que oferecem maior retorno sobre investimento em detecção de vulnerabilidades.
- E Implementar apenas controles relacionados a e-mail (antispam, anti-phishing, DMARC/SPF/DKIM) do IG2, pois e-mail é o maior vetor de ataque, segundo o contexto da organização.