Segurança versus conformidade: entendendo as principais diferenças

Chegou a hora de pensar de forma diferente sobre segurança e conformidade. Conformidade não é segurança. Na verdade, você pode estar em conformidade, mas não estar seguro.

A conformidade nem sempre proporciona segurança.

Preparando-se para os desafios de segurança atuais

A tecnologia da informação cresceu a passos largos nas últimas duas décadas, com a indústria a atingir os 5 biliões de dólares em 2019. Com este imenso crescimento surgem novos desafios complexos de conformidade e segurança. Os membros da indústria sabem que é cada vez mais importante compreender e controlar como as empresas partilham, armazenam e recebem informações. As estruturas de conformidade de TI já estão em vigor para garantir que esta regulamentação de dados aconteça de forma segura, mas podem diferir bastante.

Dividindo-o ao básico, tornar-se seguro e compatível significa proteger os ativos de informação, prevenir danos, protegê-los e detectar roubos. Estes são os principais mantras e mandatos das equipes de segurança cibernética, à medida que implementam frameworks, que são predominantemente técnicos para alcançar a conformidade.

Uma empresa pode proteger seus dados adequadamente se seguir as estruturas de conformidade e tiver segurança de qualidade em vigor. Para ter a proteção adequada, as empresas devem compreender que Compliance não é a mesma coisa que segurança. No entanto, a segurança é uma grande parte da conformidade.

Quais são as diferenças entre conformidade e segurança?

A conformidade concentra-se no tipo de dados tratados e armazenados por uma empresa e nos requisitos regulamentares (estruturas) aplicáveis à sua proteção. Uma empresa pode ter que se alinhar com diversas estruturas, e compreender essas estruturas pode ser difícil. Seu principal objetivo é gerenciar riscos e vai além dos ativos de informação. Eles supervisionam políticas, regulamentos e leis e cobrem riscos físicos, financeiros, legais ou outros tipos de riscos. Conformidade significa garantir que uma organização cumpra com o mínimo dos requisitos relacionados à segurança.

Segurança é um conjunto claro de sistemas técnicos, ferramentas e processos implementados para proteger e defender os ativos de informação e tecnologia de uma empresa. A conformidade não é a principal preocupação ou prerrogativa de uma equipe de segurança, apesar de ser um requisito crítico de negócios. A segurança pode incluir controles físicos e também quem tem acesso a uma rede, por exemplo. Métodos e ferramentas padronizados fornecidos por fornecedores especializados tornam a segurança mais simples do que a conformidade. A conformidade, por outro lado, pode ser multifacetada e baseia-se no tipo de dados e nos processos de segurança de uma empresa.

Conformidade e segurança baseadas em estruturas específicas

Compliance estuda os processos de segurança de uma empresa. Ele detalha sua segurança em um único momento e a compara a um conjunto específico de requisitos regulatórios. Esses requisitos vêm na forma de legislação, regulamentos do setor ou padrões criados a partir das melhores práticas.

Especificamente, as estruturas de conformidade incluem:

HIPAA

HIPAA (Lei de Responsabilidade e Portabilidade de Seguros de Saúde) se aplica a empresas do setor de seguros de saúde. Ela legisla como as empresas devem tratar e proteger as informações médicas pessoais dos pacientes. A conformidade com a HIPAA exige que as empresas que gerenciam esse tipo de informação o façam com segurança. A lei tem cinco seções, que chama de Títulos. O Título 2 é a seção que se aplica à privacidade e segurança das informações.

Inicialmente, a HIPAA pretendia padronizar a forma como o setor de seguros de saúde processava e compartilhava dados. Acrescentou agora disposições para gerir também as violações electrónicas destas informações.

SOX

A Lei Sarbanes-Oxley (também chamada SOX) aplica-se ao cuidado corporativo e à manutenção de dados financeiros de empresas públicas. Define quais dados devem ser mantidos e por quanto tempo eles precisam ser mantidos. Também descreve controles para destruição, falsificação e alteração de dados.

A SOX tenta melhorar a responsabilidade corporativa e adicionar culpabilidade. A lei estabelece que a alta administração deve certificar a exatidão de seus dados.

Todas as empresas públicas devem cumprir a SOX e os seus requisitos para relatórios financeiros. Classificar os dados corretamente, armazená-los com segurança e encontrá-los rapidamente são elementos críticos de sua estrutura.

PCI-DSS

A conformidade com o PCI DSS é o padrão de segurança de dados da indústria de cartões de pagamento criado por um grupo de empresas que queriam padronizar a forma como protegiam as informações financeiras dos consumidores.

Os requisitos que fazem parte da norma são:

• Uma rede segura
• Dados de usuário protegidos
• Fortes controles e gerenciamento de acesso
• Testes de rede
• Revisões regulares das Políticas de Segurança da Informação

Existem quatro níveis de conformidade dentro do padrão. O número de transações que uma empresa conclui a cada ano determina o nível que elas devem cumprir.

Relatórios SOC

Os Relatórios SOC são Relatórios de Controle da Organização de Serviços que tratam do gerenciamento de informações financeiras ou pessoais em uma empresa. Existem três relatórios SOC diferentes. SOC 1 e SOC 2 são tipos diferentes, sendo que o SOC 1 se aplica a controles de informações financeiras, enquanto a conformidade e certificação do SOC 2 abrange informações pessoais do usuário. Os Relatórios SOC 3 são acessíveis ao público, portanto não incluem informações confidenciais sobre a empresa. Estes relatórios aplicam-se a um período específico e os novos relatórios consideram quaisquer conclusões anteriores.

O American Institute for Chartered Public Accountants (AICPA) os definiu como parte do SSAE 18.

Família ISO 27000

A família de padrões ISO 27000 descreve os requisitos mínimos para proteger informações. Como parte do corpo de padrões da Organização Internacional de Normalização, determina a forma como a indústria desenvolve Sistemas de Gestão de Segurança da Informação (SGSI).

A conformidade vem na forma de um certificado. Mais de uma dúzia de normas diferentes compõem a família ISO 27000.

A segurança cobre três aspectos principais do seu negócio

1. Redes

As redes nos permitem compartilhar informações rapidamente em grandes distâncias. Isso também os torna um risco. Uma rede violada pode causar danos incalculáveis a uma empresa.

A violação de dados pessoais pode causar danos à imagem da empresa. A perda ou destruição de dados também pode expor as empresas à responsabilidade criminal, uma vez que já não cumprem os regulamentos. Proteger uma rede é uma das tarefas mais difíceis enfrentadas pelos profissionais de segurança.

As ferramentas de segurança de rede impedem o acesso não autorizado ao sistema. Firewalls e software de filtragem de conteúdo protegem os dados, pois permitem apenas usuários válidos.

2. Dispositivos

O dispositivo pessoal de um usuário conectado à rede de uma empresa pode injetar código desconhecido no sistema. Da mesma forma, clicar no anexo de e-mail errado pode espalhar software malicioso rapidamente.

As ferramentas antivírus e de verificação de endpoint impedem que invasores obtenham acesso ao dispositivo. Os ataques de phishing e os vírus têm assinaturas conhecidas que os tornam detectáveis e evitáveis.

Segmentar o acesso à rede por dispositivo, usuário e instalação limita a propagação de software malicioso.

3. Usuários

Usuários descuidados representam um risco significativo para qualquer empresa. Eles não sabem que foram comprometidos e não sabem que estão possibilitando um ataque online. Os e-mails de phishing são agora responsáveis por 91% dos ataques cibernéticos bem-sucedidos.

Treinar os usuários para estarem atentos pode ajudar a limitar ações inócuas, porém perigosas. O treinamento pode aumentar a segurança se os funcionários conhecerem os riscos envolvidos no uso diário da tecnologia.

Conformidade e segurança: a aliança perfeita

Segurança é algo que todas as empresas precisam. A maioria já terá alguma forma de proteção quando se trata de infraestrutura de TI. Isso pode até significar o mínimo de ter um antivírus instalado em uma estação de trabalho ou usar o Firewall básico do Windows.

Transformar ferramentas de segurança em um sistema de TI compatível exige mais esforço. Necessidade da empresa comprovar sua conformidade com as normas regulatórias quando ocorre uma auditoria de conformidade.

Criar um sistema, uma aliança entre segurança e conformidade, de forma sistemática e controlada, é o primeiro passo para reduzir o risco. Uma equipe de segurança implementará controles sistêmicos para proteger os ativos de informação. E então uma equipe de conformidade pode validar se está funcionando conforme planejado. Este tipo de aliança garantirá que os controles de segurança não serão atrofiados e que toda a documentação e relatórios necessários estarão acessíveis para auditoria.

Primeiros passos em um caminho seguro

A conformidade que atende a uma estrutura específica gera confiança em uma empresa. Embora os regulamentos sejam a força motriz por trás da conformidade, os benefícios adicionais que os acompanham são úteis.

Uma avaliação formal dos procedimentos e sistemas de segurança pode destacar áreas de preocupação que necessitam de esclarecimento e compreensão. Embora a gestão deva confiar nos administradores para tomar decisões críticas que afectam a infra-estrutura de uma empresa, a compreensão de todas as informações relevantes sobre segurança cabe à gestão. Usar estruturas de conformidade para encontrar falhas na segurança é essencial ao analisar essas decisões.

O caminho para a conformidade começa com:

• Listando as ferramentas de segurança usadas atualmente.
• Realização de uma avaliação de risco dos tipos de informações processadas.
• Estudar os requisitos relacionados ao framework.
• Analisar as lacunas nos seus controles atuais em relação aos requisitos.
• Planejando o caminho a seguir para resolver grandes deficiências.
• Testando a eficiência de diferentes soluções.

Depois de aplicar essas etapas a um sistema, realizar avaliações regulares é a chave para o sucesso. A conformidade e a segurança precisam trabalhar de mãos dadas; não precisa ser segurança versus conformidade.

Eles trabalham em uníssono; como? Usando uma estrutura de conformidade, avaliando sistemas de segurança, corrigindo deficiências e, em seguida, iniciando avaliações definidas regularmente.

Segurança e conformidade: uma relação simbiótica

Segurança e conformidade são componentes necessários em todos os setores. Saber como cada um se relaciona com a segurança dos dados é fundamental.

A indústria de TI depende muito da confiança do público, e as empresas que lhes fornecem serviços de informação precisam ter reputações estelares. Uma falha na segurança pode quebrar um negócio.

Segurança e conformidade são componentes diferentes de um sistema necessário e crucial. Saber como cada um se relaciona com a proteção de dados é fundamental. Cada um depende do outro para manter a segurança dos dados no máximo. Conformidade não é igual a segurança por si só. É preciso haver uma relação simbiótica entre os dois. Quando uma empresa cumpre as estruturas de conformidade com as suas medidas de segurança interna, a implementação de ambas manterá os dados seguros e a integridade e reputação da empresa intactas.

Agora que você entende as diferenças entre segurança e conformidade leia sobre as melhores ferramentas de teste de segurança recomendadas por profissionais. É hora de agir contra possíveis ameaças aos dados e proteger sua segurança cibernética.