5 maneiras de lidar com os requisitos de conformidade 

By Brooke Jackson -

5 Ways to Get a Handle on Compliance Requirements 

Conformidade: é complicada, cara... e inquestionavelmente fundamental 

A prática da conformidade refere-se ao cumprimento de leis, políticas e regulamentos que se aplicam à forma como a empresa coleta, compartilha e protege os dadosEstabelecida por órgãos do governo ou organizações do setor, elas nem sempre têm respaldo na lei, no entanto, não as cumprir pode levar à responsabilidade legal.  

E embora as empresas venham reclamando de “fadiga da conformidade” há anos, os requisitos parecem continuar aumentando, especialmente o Regulamento Geral de Proteção de Dados da União Europeia, ou RGPD, que entrou em vigor em maio a próxima CCPA, ou Lei de Privacidade do Consumidor da Califórnia , que entra em vigor em janeiro de 2020.  

Não é nada surpreendente, então, que as organizações enfrentem dificuldades. Os avanços são irregulares e, claro, conformidade não é segurançaSeguir as regras não é garantia de segurança, como o ritmo constante das notícias sobre novas violações deixa claro.  

Enquanto debate-se sobre a fadiga e o atendimento da conformidade versus segurança, veja aqui cinco passo concretos que você dar agora para acompanhar e manter a conformidade. 

Planeje para o escopo adequado 

Reservar um tempo para entender quais informações eletrônicas devem ser protegidas e onde são armazenadas, transmitidas ou processadas é fundamental, no entanto, talvez até mais importante que isso seja primeiro determinar se há necessidade de armazenar ou transmitir essas informações. Não transmitir, armazenar ou processar dados confidenciais pode reduzir o escopo da conformidade.  

Se não for possível fazer isso, imponha limites relacionados à forma com que os dados são transmitidos, armazenados ou processados, onde podem ser guardados, por quanto tempo e quem pode acessá-los. Depois, então, documente esses limites na política 

Faça um orçamento adequado 

Trate as não conformidades como um risco. Quanto poderia custar à sua organização ser considerada não conforme, ou pior ainda, sofrer uma violação devido à não conformidade? A elaboração do orçamento deve levar em consideração as pessoas, os processos e a tecnologia, além do escopo do ambiente. Preste atenção para não haver desvio no escopo. Muitas empresas transferem as funções de riscos e conformidade, tais como a segurança física, de rede e a segurança da hospedagem para provedores de serviços de segurança gerenciados ou MSSPs.  

Conhecido como um modelo de responsabilidade compartilhadatransferir o risco pode ajudar a maximizar os gastos com conformidade em tarefas que apresentam melhor resultado em grande escala. Usar MSSPs para operacionalizar os orçamentos, em vez de comprar bens fixos e contratar uma equipe de funcionários em tempo integral traz mais benefícios. 

Crie uma estratégia de criptografia 

"Criptografe os dados confidenciais." É uma afirmação simples. Lógica, direta e que faz sentido. No entanto, da perspectiva da conformidade, muitas coisas podem dar errado com a criptografia. Por isso é importante ter uma estratégia relacionada à criptografia de dados confidenciais, com cenários que incluem transmissão de dados, dados armazenados e dados em uso (e não se esqueça dos backups!).

Cada cenário terá, provavelmente, várias opçõescada uma com as suas próprias considerações relativas à segurança e à conformidade. Elas incluem (entre outras): procedimentos de gerenciamento de chaves, cifras, força das chaves, algoritmos de criptografia, protocolos, níveis FIPS-140-2e mais.  

Adote a conformidade contínua 

Como fica dolorosamente claro a cada novo regulamento, conformidade hoje não significa conformidade amanhã. Manter-se atualizado é um esforço ativo que requer monitoramento e revisão continuada. Identificar e priorizar os riscos por meio de avaliações regulares é uma função essencial para apoiar os esforços relativos à conformidade. Isso pode ocorrer na forma de varreduras de vulnerabilidade, monitoramento de configurações, avaliações de risco e testes de penetração. A conformidade deve ser avaliada de forma contínua para garantir que os controles estejam funcionando e que sejam eficazes não somente no dia da auditoria.  

Priorize a criação de uma cultura de segurança 

Para construir uma cultura de segurança é necessário que todas as pessoas entendam que a segurança é responsabilidade de todos. Disponibilizar um programa envolvente de conscientização sobre segurança é uma necessidade absoluta. Aumente a conscientização dos seus funcionários oferecendo treinamento e educação relevantes e adequados sobre o papel deles na manutenção da segurança da organização, da alta gerência aos funcionários extremamente técnicos. É necessário fazer isso com maior frequência do que uma vez ao ano. Com o perímetro sempre decrescendo, uma cultura de segurança deve estender-se para além das quatro paredes da organização. A conscientização sobre a segurança deve estender-se para onde quer que os seus funcionários trabalharem, bem como para os seus hábitos pessoais online.   

Essas cinco dicas não vão resolver todos os desafios de conformidade da sua empresa, mas elas são ótimos pontos de partida. E se estiver buscando um parceiro estratégico para entender a posição da sua empresa no que diz respeito a padrões de conformidade específicos, incluindo NIST (DFARS), NIST (FISMA), FedRAMP, HIPAA/HITECH, ISO, PCI, SOC2 e outros, considere a Rackspace: