Compliance não é uma representação do devido cuidado

A conformidade regulatória é uma etapa necessária para os líderes de TI, mas não é suficiente para reduzir o risco residual de segurança de TI a níveis toleráveis. Isto não é novidade. Mas por que é este o caso? Aqui estão três razões:

• As regulamentações de conformidade concentram-se em “bom o suficiente”, mas o ambiente de ameaças muda rapidamente. Portanto, qualquer definição de “bom o suficiente” é temporária. A falta de especificidade na maioria dos regulamentos é deliberada para acomodar estes factores.
• As tecnologias de TI mudam rapidamente. Uma solução tecnológica adequada hoje se tornará obsoleta dentro de alguns anos.
• As circunstâncias e as redes de TI são tão variadas que nenhuma regulamentação pode abordar todas elas. Não é possível prescrever um conjunto comum de soluções para todos os casos.

O ponto principal a ser entendido é que os documentos de orientação de conformidade são apenas isso: orientação. Obter a certificação para a norma, embora necessária, não é suficiente. Se a sua rede for vítima de uma violação de segurança e um terceiro sofrer danos, a conformidade com as diretrizes por si só não será uma defesa adequada, embora possa ajudar a mitigar certas penalidades regulatórias. Todas as medidas razoáveis para mitigar o potencial de danos a terceiros devem ter sido implementadas, independentemente de essas medidas estarem listadas nas orientações.

Um programa de segurança forte baseia-se na gestão eficaz dos riscos de segurança da organização. Um processo para fazer isso de forma eficaz é o que os reguladores e auditores procuram.