5 maneiras de lidar com os requisitos de conformidade 

Compliance: é complicada, cara... e inquestionavelmente fundamental.   A prática da compliance refere-se ao cumprimento de leis, políticas e regulamentações que se aplicam à forma como a empresa coleta, compartilha e protege os dados. Estabelecidas por órgãos do governo ou organizações do setor, elas nem sempre têm respaldo na lei, mas a falha em cumpri-las pode acarretar responsabilidade legal.   E embora as empresas venham reclamando de "fadiga da compliance" há anos, os requisitos parecem continuar aumentando — em especial o Regulamento Geral de Proteção de Dados da União Europeia, ou GDPR, que entrou em vigor em maio, e a iminente CCPA, ou Lei de Privacidade do Consumidor da Califórnia, que entra em vigor em janeiro de 2020.   Não é nada surpreendente, então, que as organizações enfrentem dificuldades. Os avanços são irregulares — e, claro, compliance não é segurança. Seguir as regras não é garantia de segurança, como o ritmo constante das notícias sobre novas violações deixa claro.    Enquanto aumenta o debate sobre a fadiga da compliance e o cumprimento dela versus o da segurança, aqui estão cinco passos concretos que você pode dar agora para para manter a conformidade. 

Planeje para o escopo adequado 

Reservar um tempo para entender quais informações eletrônicas devem ser protegidas e onde são armazenadas, transmitidas ou processadas é fundamental, no entanto, talvez até mais importante que isso seja primeiro determinar se há necessidade de armazenar ou transmitir essas informações. Não transmitir, armazenar ou processar dados confidenciais pode reduzir o escopo da conformidade.  

Se não for possível fazer isso, imponha limites relacionados à forma com que os dados são transmitidos, armazenados ou processados, onde podem ser guardados, por quanto tempo e quem pode acessá-los. Depois, então, documente esses limites na política.  

Faça um orçamento adequado 

Trate as não conformidades como um risco. Quanto poderia custar à sua organização ser considerada não conforme, ou pior ainda, sofrer uma violação devido à não conformidade? A elaboração do orçamento deve levar em consideração as pessoas, os processos e a tecnologia, além do escopo do ambiente. Preste atenção para não haver desvio no escopo. Muitas empresas transferem as funções de riscos e conformidade, tais como a segurança física, de rede e a segurança da hospedagem para provedores de serviços de segurança gerenciados ou MSSPs.  

Conhecido como um modelo de responsabilidade compartilhada, transferir o risco pode ajudar a maximizar os gastos com conformidade em tarefas que apresentam melhor resultado em grande escala. Usar MSSPs para operacionalizar os orçamentos, em vez de comprar bens fixos e contratar uma equipe de funcionários em tempo integral traz mais benefícios. 

Crie uma estratégia de criptografia 

"Criptografe os dados confidenciais." É uma afirmação simples. Lógica, direta e que faz sentido. No entanto, da perspectiva da conformidade, muitas coisas podem dar errado com a criptografia. Por isso é importante ter uma estratégia relacionada à criptografia de dados confidenciais, com cenários que incluem transmissão de dados, dados armazenados e dados em uso (e não se esqueça dos backups!).

Cada cenário terá, provavelmente, várias opções, cada uma com as suas próprias considerações relativas à segurança e à conformidade. Elas incluem (entre outras): procedimentos de gerenciamento de chaves, cifras, força das chaves, algoritmos de criptografia, protocolos, níveis FIPS-140-2e mais.  

Adote a conformidade contínua 

Como fica dolorosamente claro a cada novo regulamento, conformidade hoje não significa conformidade amanhã. Manter-se atualizado é um esforço ativo que requer monitoramento e revisão continuada. Identificar e priorizar os riscos por meio de avaliações regulares é uma função essencial para apoiar os esforços relativos à conformidade. Isso pode ocorrer na forma de varreduras de vulnerabilidade, monitoramento de configurações, avaliações de risco e testes de penetração. A conformidade deve ser avaliada de forma contínua para garantir que os controles estejam funcionando e que sejam eficazes não somente no dia da auditoria.  

Priorize a criação de uma cultura de segurança 

Para construir uma cultura de segurança é necessário que todas as pessoas entendam que a segurança é responsabilidade de todos. Disponibilizar um programa envolvente de conscientização sobre segurança é uma necessidade absoluta. Aumente a conscientização dos seus funcionários oferecendo treinamento e educação relevantes e adequados sobre o papel deles na manutenção da segurança da organização, da alta gerência aos funcionários extremamente técnicos. É necessário fazer isso com maior frequência do que uma vez ao ano. Com o perímetro sempre decrescendo, uma cultura de segurança deve estender-se para além das quatro paredes da organização. A conscientização sobre a segurança deve estender-se para onde quer que os seus funcionários trabalharem, bem como para os seus hábitos pessoais on-line.    Essas cinco dicas não vão resolver todos os desafios de compliance da sua empresa, mas são ótimos pontos de partida. E, se estiver buscando um parceiro estratégico para entender a posição da sua empresa no que diz respeito a padrões de compliance específicos, incluindo NIST (DFARS), NIST (FISMA), FedRAMP, HIPAA/HITECH, ISO, PCI, SOC2 e outros, considere a Rackspace: