oHub Base TI / Cibersegurança e Proteção de Dados / Fundamentos de Cibersegurança / Artigos / CIS Controls: os 18 controles essenciais de cibersegurança
Neste artigo: Como este tema funciona na sua empresa Os 6 controles de Fundação: défesa contra ataques comuns Os 6 controles Operacionais: resposta a ataques direcionados Os 6 controles Avançados: detecção de ataques sofisticados Como priorizar os 18 controles na sua empresa Sinais de que sua empresa precisa implementar CIS Controls Caminhos para implementar CIS Controls Precisa implementar CIS Controls na sua empresa? Perguntas frequentes Quais são os 18 CIS Controls e como começar? Qual é a diferença entre CIS Controls e ISO 27001? Quanto tempo leva para implementar todos os 18 CIS Controls? CIS Controls é exigido por lei ou regulação? Qual controle reduz mais ataques? Como medir se CIS Controls estão implementados corretamente? Fontes e referências
oHub Base TI Cibersegurança e Proteção de Dados Fundamentos de Cibersegurança

CIS Controls: os 18 controles essenciais de cibersegurança

Os 18 controles do CIS explicados em linguagem gerencial e organizados por prioridade de implementação.
Atualizado em: 24 de abril de 2026
Neste artigo: Como este tema funciona na sua empresa Os 6 controles de Fundação: défesa contra ataques comuns Os 6 controles Operacionais: resposta a ataques direcionados Os 6 controles Avançados: detecção de ataques sofisticados Como priorizar os 18 controles na sua empresa Sinais de que sua empresa precisa implementar CIS Controls Caminhos para implementar CIS Controls Precisa implementar CIS Controls na sua empresa? Perguntas frequentes Quais são os 18 CIS Controls e como começar? Qual é a diferença entre CIS Controls e ISO 27001? Quanto tempo leva para implementar todos os 18 CIS Controls? CIS Controls é exigido por lei ou regulação? Qual controle reduz mais ataques? Como medir se CIS Controls estão implementados corretamente? Fontes e referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresa

Implementar todos os 18 CIS Controls é irrealista. Foco: primeiros 5 controles (inventário de assets, inventário de software autorizado, proteção de dados em repouso, controle de acesso, configuração segura). Implementação: 3-6 meses. Custo: baixo, ferramentas open-source. Resultado: reduz 80% dos ataques mais comuns.

Média empresa

Implementar CIS Controls em camadas: fundação (1-6), operacional (7-12), avançado (13-18). Priorizar conforme risco de negócio. Governança: responsável de TI + comitê de segurança. Implementação: 6-18 meses, por fases. Custo: ferramentas de médio porte (SIEM, DLP). Resultado: conformidade com padrões (ISO 27001, Resolução BACEN).

Grande empresa

Implementação completa de 18 controles com medição contínua de maturidade. Integração com estratégia de risco empresarial. Governança: programa de segurança formal, CISO, comitê de risco. Implementação: 18-36 meses, contínuo. Custo: plataformas enterprise (SOC, SOAR, GRC). Resultado: conformidade regulatória garantida, resiliência de negócio comprovada.

CIS Controls (Center for Internet Security Controls) são 18 grupos de práticas de segurança cibernética, priorizados por impacto na redução de risco. Estruturados em três níveis: Fundação (1-6) combate ataques básicos; Operacional (7-12) mitiga ataques direcionados; Avançado (13-18) detecta e responde a compromissos sofisticados. Cada controle inclui subcontroles com métricas de implementação[1].

Os 6 controles de Fundação: défesa contra ataques comuns

Controles 1-6 são obrigatórios e endereçam 80% dos ataques conhecidos. Implementação reduz risco de forma dramática mesmo em empresas com poucos recursos. Cada controle tem métricas simples:

  • Controle 1: Inventário de assets corporativos. Mapear toda máquina, servidor, ativo de rede. Sem inventário, impossível defender. Métrica: 100% das máquinas rastreáveis em banco de dados centralizado.
  • Controle 2: Inventário de software autorizado. Catalogar software corporativo aprovado; bloquear não-autorizado (malware, cópias ilícitas). Métrica: 100% dos softwares executáveis com aprovação documentada.
  • Controle 3: Proteção e isolamento de dados. Classificar dados (público, interno, sensível, confidencial); criptografar dados sensíveis em repouso e trânsito. Métrica: 100% dos dados classificados, sensíveis criptografados.
  • Controle 4: Controle de acesso — autenticação e autorização. Usar autenticação multifator (MFA) para acesso corporativo; autorização baseada em papéis (RBAC). Métrica: MFA ativo em 100% dos usuários; acesso provisionado por papel, não por exceção.
  • Controle 5: Defesa de configuração segura. Servidores, aplicações, redes devem ter baseline de segurança. Desativar portas, protocolos, serviços desnecessários. Métrica: 100% dos servidores com configuração baseline validada anualmente.
  • Controle 6: Gestão de identidade — administradores e contas privilegiadas. Limitar contas administrativas; auditar acesso privilegiado. Métrica: Acesso privilegiado auditado em tempo real; remoção de privilégios em menos de 1 dia após desligamento.
Pequena empresa

Implementar 1-3 com ferramentas simples: inventário em planilha + GitHub ou OneDrive para controle de software; Active Directory local + MFA (Microsoft 365, Google Workspace). Responsável: gerente de TI. Timeline: 1-2 meses. Resultado: reduz ataques de força bruta e malware em 70%.

Média empresa

Implementar 1-6 com ferramentas integradas: CMDB (Configuration Management Database) para inventário; ferramentas de compliance (Tenable, Qualys) para configuração; sistema de gestão de identidade (Okta, Azure AD). Responsável: analista de segurança. Timeline: 3-6 meses. Resultado: conformidade com padrões básicos (ISO 27001).

Grande empresa

Implementar 1-6 com plataformas enterprise: ITSM integrado com CMDB; GRC (Governance, Risk, Compliance) para compliance contínuo; IAM (Identity and Access Management) centralizado. Responsável: CISO + equipe de segurança. Timeline: 6-12 meses. Resultado: conformidade regulatória garantida, auditoria contínua.

Os 6 controles Operacionais: resposta a ataques direcionados

Controles 7-12 detectam e respondem a ataques mais sofisticados (phishing, malware direcionado, movimentação lateral). Requerem investimento em ferramentas e expertise.

  • Controle 7: Monitoramento de logs e alertas. Centralizar logs de todos os sistemas (servidores, firewalls, aplicações); detectar padrões anormais em tempo real. Ferramenta: SIEM (Splunk, ELK Stack).
  • Controle 8: Defesa de malware — antivírus, detecção comportamental. Antivírus em toda máquina; detecção de comportamento anormal (EDR). Ferramenta: Endpoint Protection (Microsoft Defender, Crowdstrike).
  • Controle 9: Limitação de software — application whitelisting. Permitir apenas software corporativo autorizado; bloquear tudo mais. Métrica: 100% das máquinas com whitelist ativo; taxa de bloqueio falso menor que 1%.
  • Controle 10: Teste de segurança — vulnerability management. Varrer ativos (servidores, aplicações, código) em busca de vulnerabilidades; priorizar by criticality; remediar em SLA definido. Frequency: mensal mínimo.
  • Controle 11: Proteção de dados em trânsito — criptografia de conexões. HTTPS para web, TLS para email, VPN para acesso remoto. Métrica: 100% das conexões críticas criptografadas.
  • Controle 12: Gerenciamento de segurança de usuários finais — treinamento, enforcement de políticas. Treinamento de phishing mensal; enforcement de política de senha; screen timeout para máquinas. Métrica: 90%+ de usuários passando em simulado de phishing.

Os 6 controles Avançados: detecção de ataques sofisticados

Controles 13-18 são para empresas com maturidade operacional e orçamento. Focam em detecção e resposta a compromissos avançados (APT, insider threats, ransomware). Requerem expertise especializada.

  • Controle 13: Análise de dados para detecção de anomalias. Usar machine learning para detectar comportamento anormal de usuários/sistemas. Exemplo: usuário de TI acessando dados de RH fora de horário.
  • Controle 14: Teste de segurança avançado — pen testing, threat hunting. Contratar especialistas para simular ataques reais (red team). Frequency: semestral. Resultado: descobrir gaps em defesa antes de atacantes.
  • Controle 15: Gestão de desenvolvimento seguro — DevSecOps. Integrar segurança em pipeline de desenvolvimento (SAST, DAST, dependency scanning). Métrica: 100% do código novo verificado antes de produção.
  • Controle 16: Gerenciamento de incidentes. Plano de resposta a incidentes formalizado; time dedicado (CERT); contatos de escalação. Métrica: tempo médio de detecção menor que 4 horas; tempo de contenção menor que 24 horas.
  • Controle 17: Implementação de segurança na arquitetura — zero trust, defense in depth. Não confiar em ninguém por padrão; requerir autenticação em cada acesso. Segmentação de rede, isolamento de dados.
  • Controle 18: Conciência e treinamento de segurança — programa formal. Treinamento anual obrigatório; simulados de phishing trimestrais; comunicação de segurança contínua.

Como priorizar os 18 controles na sua empresa

Matriz de risco: combinar impacto (quantitativo: redução de ataques prevenidos) com viabilidade (custo, tempo, expertise). Iniciar pelos controles de maior impacto e viabilidade. Roadmap recomendado:

Semestre 1: Controles 1, 2, 4, 5 (inventário, MFA, baseline). Semestre 2: Controles 3, 6 (proteção de dados, contas privilegiadas). Ano 2: Controles 7, 8, 10 (logs, malware, vulnerabilidades). Ano 3+: Controles 9, 11, 12, 13 (whitelisting, criptografia, treinamento, detecção). Longo prazo: Controles 14-18 (pen testing, DevSecOps, incidentes, arquitetura).

Sinais de que sua empresa precisa implementar CIS Controls

Se você se reconhece em três ou mais cenários abaixo, comece a implementação imediatamente.

  • Não há inventário centralizado de máquinas ou software corporativo
  • Não há MFA (autenticação de dois fatores) para acesso corporativo
  • Servidores e aplicações não têm baseline de configuração de segurança
  • Dados sensíveis (financeiro, cliente) não estão criptografados
  • Não há log centralizado de acessos ou eventos de segurança
  • Equipe de TI não sabe se há vulnerabilidades não patcheadas em produção
  • Não há plano formal de resposta a incidentes de segurança

Caminhos para implementar CIS Controls

Duas rotas complementares para colocar a segurança estruturada em operação.

Implementação interna

Viável quando equipe de TI tem conhecimento de segurança ou disponibilidade para aprender.

  • Perfil necessário: gestor de TI com experiência em segurança, ou analista de segurança dedicado
  • Tempo estimado: 6-12 meses para controles 1-6 (fundação)
  • Faz sentido quando: orçamento limitado, equipe já existe
  • Risco principal: falta de expertise especializada, erros de implementação, gaps em cobertura
Com apoio especializado

Recomendado para implementação acelerada e conformidade garantida.

  • Tipo de fornecedor: Consultoria de Segurança Cibernética, Implementador de CIS Controls
  • Vantagem: expertise especializada, roadmap pronto, implementação acelerada
  • Faz sentido quando: empresa quer conformidade rápida ou risco de segurança é crítico
  • Resultado típico: implementação de controles 1-6 em 3-4 meses; roadmap para 18 controles definido

Precisa implementar CIS Controls na sua empresa?

Se segurança cibernética é prioridade e você quer uma defesa estruturada contra ataques comuns, o oHub conecta você gratuitamente a consultores especializados em CIS Controls. Em menos de 3 minutos, descreva seu cenário e receba propostas personalizadas, sem compromisso.

Encontrar fornecedores de TI no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

Quais são os 18 CIS Controls e como começar?

Os 18 controles estão organizados em três níveis: Fundação (1-6) combate ataques comuns; Operacional (7-12) detecta ataques direcionados; Avançado (13-18) responde a compromissos sofisticados. Comece pelos controles 1-6, que reduzem 80% dos ataques com investimento mínimo.

Qual é a diferença entre CIS Controls e ISO 27001?

CIS Controls são práticas específicas e priorizadas por impacto; ISO 27001 é framework de gestão de segurança mais amplo. Muitos controles CIS 1-6 são necessários para conformidade ISO 27001. CIS é operacional; ISO é governança.

Quanto tempo leva para implementar todos os 18 CIS Controls?

Controles 1-6 (fundação): 3-6 meses. Controles 1-12 (fundação + operacional): 12-18 meses. Todos os 18: 24-36 meses ou mais, dependendo de maturidade inicial da empresa e recursos disponíveis.

CIS Controls é exigido por lei ou regulação?

Não é mandatório por lei no Brasil, mas é recomendado por órgãos reguladores (BACEN para instituições financeiras, ANPD para LGPD). Muitos contratos corporativos e licitações exigem conformidade com CIS ou ISO 27001.

Qual controle reduz mais ataques?

Controle 4 (autenticação multifator) previne 99% dos ataques de força bruta e comprometimento de credenciais. Implementar MFA é o controle de maior impacto com menor custo e complexidade.

Como medir se CIS Controls estão implementados corretamente?

Cada controle tem subcontroles com métricas: inventário 100% rastreável, MFA ativo em 100% dos usuários, logs centralizados e retidos conforme política, vulnerabilidades críticas remediadas em SLA. Auditoria periódica valida implementação.

Fontes e referências

  1. Center for Internet Security. CIS Controls v8. CIS.
  2. ISO/IEC 27001:2022 — Information Security Management. International Organization for Standardization.
  3. Banco Central do Brasil. Resolução BACEN 4.658 — Segurança da Informação. BCB.

Leia também