/ GLOSSÁRIO · FRAMEWORK

CIS Controls v8 — Os 18 controles e Implementation Groups

Última atualização: 11 de maio de 2026

Os CIS Controls v8, mantidos pelo Center for Internet Security (CIS), são um conjunto prescritivo de 18 controles e 153 salvaguardas (safeguards) priorizados para defesa de cibersegurança. A versão 8, lançada em 2021, consolida controles relacionados a trabalho remoto, cloud e mobilidade.

Diferente do NIST CSF (que é descritivo e organiza outcomes), o CIS Controls é prescritivo — diz exatamente o que fazer, passo a passo. Os dois frameworks são complementares: NIST como linguagem de governance, CIS como manual de implementação.

Os 18 controles CIS v8

Os controles são apresentados em ordem de priorização recomendada pelo CIS. Os primeiros 6 cobrem cyber hygiene básica.

  1. Inventory and Control of Enterprise Assets — Inventário de hardware
  2. Inventory and Control of Software Assets — Inventário de software autorizado
  3. Data Protection — Classificação, criptografia e disposição segura
  4. Secure Configuration of Enterprise Assets and Software — Hardening de OS, apps e devices
  5. Account Management — Gestão de contas (incluindo serviço e admin)
  6. Access Control Management — Princípio do menor privilégio, MFA
  7. Continuous Vulnerability Management — Scan + patch management contínuo
  8. Audit Log Management — Coleta, retenção e revisão de logs
  9. Email and Web Browser Protections — Filtros, DMARC, anti-phishing
  10. Malware Defenses — EDR e anti-malware enterprise
  11. Data Recovery — Backup testado, recovery validável
  12. Network Infrastructure Management — Configuração segura de rede e segmentação
  13. Network Monitoring and Defense — IDS/IPS, NDR, segmentação ativa
  14. Security Awareness and Skills Training — Treinamento contínuo, phishing simulado
  15. Service Provider Management — Gestão de risco de fornecedores
  16. Application Software Security — SDLC seguro, SAST/DAST
  17. Incident Response Management — Plano de resposta documentado e testado
  18. Penetration Testing — Pentest externo periódico, red team em IG3

Implementation Groups (IG1, IG2, IG3)

Os IGs definem subconjuntos das 153 safeguards por tamanho e maturidade da organização. Permitem que o framework seja praticável para uma padaria local e para uma multinacional sob regulação.

IG1 — Cyber hygiene essencial (56 safeguards)

O piso para qualquer organização. Cobre o básico: inventário, MFA, backup, treinamento. Aplicável a pequenas empresas com IT limitado, dados não-sensíveis e baixa exposição regulatória.

IG2 — Empresas com TI dedicado (130 safeguards = IG1 + 74)

Para empresas com equipe de segurança dedicada e dados sensíveis (financeiros, saúde, IP). Adiciona controles mais técnicos: SIEM, segmentação de rede, gestão de fornecedores, SAST/DAST.

IG3 — Atacantes sofisticados (153 safeguards = total)

Para organizações que enfrentam APTs ou regulação rigorosa (financeiro, defesa, infraestrutura crítica). Adiciona pentest avançado, red team, threat hunting e métricas operacionais sofisticadas.

CIS Controls vs NIST CSF

CIS Controls e NIST CSF não competem — se complementam. O NIST CSF organiza os outcomes desejados (o que medir), o CIS Controls prescreve as ações para alcançá-los (como fazer). O CIS publica mapping oficial entre os dois frameworks; plataformas modernas mantêm cross-referência ativa para que a organização avalie em um framework e reporte no outro.

Próximo passo

A CyberAtlas avalia maturidade em CIS Controls v8 com validação de evidências assistida por IA, mapping ativo para NIST CSF 2.0 e ISO 27001:2022, e plano de ação priorizado por risco.

Avalie sua maturidade CIS com a CyberAtlas, ou conheça os módulos da plataforma.