CIS Controls v8.1 na prática: o que cada controle exige dos dispositivos corporativos do seu órgão

O PPSI 2.0 adotou o CIS Controls v8.1 como base técnica do seu segmento de segurança da informação. Não é uma escolha arbitrária: o CIS Controls é o framework de defesa cibernética mais amplamente adotado por organizações públicas e privadas no mundo, desenvolvido com contribuição de especialistas de dezenas de países e setores.

Para gestores de TI de órgãos públicos, é importante entender o CIS Controls v8.1 e entender o que o PPSI 2.0 realmente exige — não apenas em termos de política, mas em termos de capacidade técnica. Cada controle tem medidas específicas, classificadas em três Grupos de Implementação (GI1, GI2 e GI3), do mais básico ao mais avançado.

Neste artigo, destrinchamos os controles que afetam diretamente a gestão de dispositivos corporativos, o que cada um exige na prática e como uma plataforma UEM/MDM cobre essas exigências.

Como o CIS Controls v8.1 está organizado

O CIS Controls v8.1 é composto por 18 controles e 153 medidas individuais. As medidas são categorizadas em três Grupos de Implementação:

Grupo	Perfil da organizacao
GI1 — 56 medidas	Qualquer organização. Higiene cibernética básica. Ponto de partida inegociável.
GI2 — +74 medidas	Organizações com equipes de TI estruturadas. Inclui todas as medidas GI1.
GI3 — +23 medidas	Organizações com especialistas dedicados em segurança. Inclui GI1 e GI2.

No PPSI 2.0, a estratégia de implementação é progressiva e explicita: começa pelo GI1 e avança conforme a maturidade da equipe e dos recursos técnicos disponíveis.

Os controles que afetam diretamente dispositivos corporativos

Controle 1 — Inventário de Ativos Institucionais (GI1)

O ponto de partida do CIS Controls — e do PPSI 2.0. Sem saber o que existe na rede, não é possível proteger. O Controle 1 exige um inventário preciso, atualizado e auditável de todos os ativos: dispositivos de usuário final, dispositivos de rede, servidores e dispositivos IoT. O inventário deve incluir endereço de rede, endereço de hardware (MAC), nome do ativo, proprietário e status de autorização.

O próprio CIS Controls cita MDM como uma das ferramentas recomendadas para automatizar a coleta e manutenção desse inventário — especialmente para dispositivos móveis que se conectam e desconectam da rede continuamente.

O que o GI1 exige no Controle 1: Estabelecer e manter inventário de todos os ativos institucionais (medida 1.1) e ter processo documentado para tratar ativos não autorizados — removendo-os da rede ou colocando em quarentena (medida 1.2). Atualização semestral mínima.

Controle 2 — Inventário de Soluções de Software (GI1)

Exige inventário detalhado de todos os softwares licenciados instalados nos ativos. A organização deve manter apenas softwares suportados pelos fornecedores — softwares sem suporte ativo precisam ser removidos ou ter exceção formal documentada com justificativa e controles compensatórios.

Para gestores de TI, isso significa visibilidade total sobre quais apps estão instalados em cada dispositivo da frota — e capacidade de remover ou bloquear apps não autorizados remotamente.

Controle 4 — Configuração Segura de Ativos e Softwares (GI1/GI2)

Um dos controles mais abrangentes para dispositivos corporativos. Reconhece que as configurações padrão dos fabricantes são focadas em facilidade de uso, não em segurança — e exige que a organização defina e aplique configurações seguras em toda a frota.

As medidas mais diretamente ligadas a gestão de móveis são:

• 4.3 — Bloqueio automático de sessão após período de inatividade (GI1);
• 4.5 — Firewall em dispositivos de usuário final com regra de negação padrão (GI1);
• 4.7 — Gestão de contas padrão dos fabricantes (GI1);
• 4.10 — Bloqueio automático após tentativas de autenticação com falha em dispositivos portáteis (GI2);
• 4.11 — Limpeza remota (wipe) de dispositivos portáteis perdidos ou roubados (GI2);
• 4.12 — Separação de espaços de trabalho em dispositivos móveis — dados pessoais e corporativos (GI3);

A medida 4.12 é a tradução técnica do Work Profile do Android Enterprise — a funcionalidade que garante que dados corporativos e pessoais nunca se misturem em um mesmo dispositivo, mesmo em modelos BYOD.

Controle 5 — Gestão de Contas (GI1)

Exige inventário de todas as contas — de usuário, de administrador e de serviço —, desativação de contas inativas e restrição de privilégios administrativos a contas dedicadas. Para o contexto de dispositivos, isso inclui controle rigoroso sobre quem tem acesso ao console de gestão da plataforma UEM e quais ações cada perfil pode executar.

Controle 6 — Gestão de Acesso (GI1)

Exige processos formais de concessão e revogação de acesso — de preferência automatizados. Para móveis corporativos, isso significa que quando um servidor público encerra seu vínculo com o órgão, o acesso ao dispositivo deve ser revogado e os dados corporativos removidos de forma imediata e rastreável.

Controle 7 — Gestão Continua de Vulnerabilidades (GI1)

Exige processo documentado para avaliar e monitorar vulnerabilidades continuamente, incluindo:

• 7.3 — Gestão automatizada de atualizações do sistema operacional, mensalmente ou em intervalos menores (GI1);
• 7.4 — Gestão automatizada de atualizações de aplicações (GI1);
• 7.7 — Correção de vulnerabilidades detectadas mensalmente (GI2);

Para frotas de Android corporativo, isso se traduz em capacidade de forçar atualizações de SO e de apps remotamente — sem depender da ação individual de cada usuário.

Controle 10 — Defesa contra Malware (GI1)

Exige antimalware instalado e mantido em todos os ativos, atualizações automáticas de assinaturas e desativação da execução automática de mídias removíveis. Inclui gestão centralizada do antimalware (10.6) — o que requer visibilidade da plataforma de gestão sobre o status de cada dispositivo.

O que uma plataforma UEM cobre em cada controle

Controle CIS	O que a plataforma UEM cobre
Controle 1 — Inventário de ativos	Inventário automático de todos os dispositivos registrados, com MAC, SO, proprietário e status de conformidade
Controle 2 — Inventário de software	Visibilidade de todos os apps instalados por dispositivo; bloqueio e remoção remota de apps não autorizados
Controle 4 — Configuração segura	Políticas de configuração aplicadas remotamente: PIN, bloqueio, criptografia, wipe, Work Profile
Controle 5 — Gestão de contas	Controle de acesso ao console de gestão com perfis e privilégios distintos por função
Controle 6 — Gestão de acesso	Desativação e wipe automatizados no desligamento de servidores; revogação de acesso a dados corporativos
Controle 7 — Vulnerabilidades	Atualizações forçadas de SO e apps; relatório de dispositivos desatualizados; políticas de FOTA para frotas Android
Controle 10 — Antimalware	Monitoramento de status de segurança por dispositivo; bloqueio de instalação de apps de fontes desconhecidas

Controles que exigem outras ferramentas ou processos

Nem todos os controles do CIS são cobertos por uma plataforma UEM — e é importante ter essa clareza para planejar a implementação correta do PPSI 2.0.

• Controle 8 (Gestão de Logs de Auditoria): requer SIEM ou plataforma centralizada de logs — a UEM contribui com logs de ações sobre dispositivos, mas não substitui uma solução de SIEM;
• Controle 12 (Gestão de Infraestrutura de Rede): foca em roteadores, firewalls e segmentação de rede — fora do escopo de uma UEM;
• Controle 14 (Conscientização e Treinamento): exige programa formal de treinamento de segurança para servidores públicos;
• Controle 17 (Gestão de Incidentes): exige plano documentado de resposta a incidentes — a UEM fornece evidências e capacidade de resposta técnica, mas o processo precisa existir independentemente;

Conclusão

O CIS Controls v8.1 não é um checklist de boas intenções. É um conjunto de medidas técnicas com nível de implementação definido, responsável designado e evidência exigida. Para a gestão de dispositivos corporativos, os Controles 1, 2, 4, 5, 6, 7 e 10 são os mais diretamente relevantes — e uma plataforma UEM cobre a maior parte deles.

O que não pode existir é o cenário em que o órgão declara conformidade sem ter a capacidade técnica de prová-la. O CIS Controls — e por extensão o PPSI 2.0 — exige evidências.

A Urmobo e aderente ao PPSI 2.0: Nossa plataforma UEM mapeia diretamente os Controles 1, 2, 4, 5, 6, 7 e 10 do CIS Controls v8.1. Inventário automático, configurações remotas, wipe, atualizações e logs auditáveis — tudo em um único painel. Fale com a Urmobo e entenda como acelerar a conformidade do seu órgão.

FAQ

O CIS Controls é o mesmo que o PPSI 2.0?

Não. O CIS Controls v8.1 é um framework global desenvolvido pelo Center for Internet Security. O PPSI 2.0 é o programa do governo federal brasileiro que adotou o CIS Controls como base técnica do seu segmento de segurança da informação.

Preciso implementar todos os 18 controles do CIS para estar em conformidade com o PPSI 2.0?

A implementação é progressiva. O GI1 (56 medidas básicas) é o ponto de partida para qualquer organização. O avanço para GI2 e GI3 depende da maturidade e dos recursos da equipe de TI.

Uma plataforma UEM cobre todos os controles do CIS?

Não. Uma plataforma UEM cobre diretamente os Controles 1, 2, 4, 5, 6, 7 e 10 — os mais relacionados a gestão de dispositivos. Outros controles (como gestão de rede, SIEM, resposta a incidentes) exigem ferramentas e processos complementares.

Qual é a diferenca entre GI1, GI2 e GI3?

GI1 são as 56 medidas essenciais para qualquer organização. GI2 inclui mais 74 medidas para organizações com equipes de TI estruturadas. GI3 adiciona 23 medidas avançadas para especialistas em segurança. Cada grupo inclui as medidas do anterior.

O CIS Controls exige inventário de dispositivos móveis?

Sim. O Controle 1 exige inventário de todos os ativos institucionais, incluindo dispositivos portáteis e móveis. O próprio CIS Controls cita MDM como ferramenta recomendada para automação desse inventário.

Fonte de referência: CIS Controls Guide v8.1, Center for Internet Security, março de 2025.