A compliance sozinha não basta para proteger a sua empresa

Chris Melli

security badge icon

 

Quando a sua empresa se propõe a cumprir uma norma de compliance — como PCI DSS, GDPR, CCPA ou HIPAA —, ela está dando um passo importante para proteger os negócios. O processo de compliance exigirá que você aborde os principais controles acerca de firewalls, senhas, criptografia, malware, acesso etc. e implemente as melhores práticas de segurança. Todos esses elementos são importantes em um programa de segurança.

Só que, infelizmente, a compliance por si só não basta para proteger sua empresa na conjuntura rapidamente mutável da cibersegurança atual.

As normas de compliance normalmente são elaboradas para um propósito único e específico. Por exemplo, a PCI DSS foi criada para melhorar a segurança dos dados dos titulares de cartão e proteger os dados das contas. Mas, como está limitada a uma fronteira ou "reduto" específico em termos de escopo, talvez não proteja todos os principais ativos, sistemas e funções que são essenciais à sua organização (fora desse reduto). Mesmo dentro da fronteira em si, é provável que você ainda precise implementar controles mais pervasivos para proteger melhor o ambiente geral em que ela opera.

Outros programas de compliance regulatória também têm uma concepção igualmente limitada. O GDPR se concentra em proteções amplas de privacidade digital. A CCPA concentra-se nos direitos da privacidade de dados. A HIPAA foi elaborada para proteger os dados de saúde. E a SOX foi criada após grandes escândalos corporativos, para certificar a precisão das demonstrações financeiras.

Essas normas, assim como muitas outras, certamente contemplam os objetivos referentes à iniciativa de compliance para a qual foram desenvolvidas. Por certo, elas estendem-se a inúmeras famílias de controles essenciais e incentivam diversas práticas recomendadas. Mas não foram concebidas para ser a base do seu programa de segurança cibernética. Então, o que fazer?

 

Integre seu programa de compliance a uma estrutura baseada em riscos

Sem sombra de dúvida, implemente as normas de compliance regulatória quando:

  • Exigidas por sua organização e/ou pelo setor
  • Definidas em contrato
  • Houver expectativa de que incentivem o crescimento dos negócios
  • Ou forem necessárias para apoiar outras funções empresariais ou jurídicas

 

Porém, ao mesmo tempo, procure agrupar os programas de compliance necessários com uma abrangente estrutura baseada em riscos que possa servir de fundação mais sólida para a cibersegurança.  

Uma estrutura baseada em riscos se concentra em entender e responder a fatores que possam levar a falhas de confidencialidade, integridade e disponibilidade. E ela começa com controles que protejam a sua organização contra cenários de risco presentes ou percebidos.

Você pode usar uma estrutura baseada em riscos para desenvolver ou melhorar seu programa de cibersegurança — focando o projeto e a implementação dos controles, tecnologias e investimentos associados em função do risco para a sua organização.

A aplicação de uma estrutura baseada em riscos ajudará você a criar um ambiente geral mais seguro do que a compliance sozinha. Também ajudará você a permanecer mais atualizado e relevante dentro de um cenário de segurança rapidamente mutável, pois será possível modificar controles com mais liberdade, com base nos riscos reais que forem importantes para a sua organização.

Com frequência, os regulamentos não são atualizados com rapidez suficiente para fornecer ampla garantia de segurança, de modo que agrupar os programas obrigatórios de compliance com uma estrutura mais completa e baseada em riscos é uma rota muito melhor a ser seguida.

 

Benefícios de uma abordagem com estrutura baseada em riscos

Ao aplicar uma abordagem com estrutura baseada em riscos, você pode:

  • Proteger por completo suas avaliações mais críticas
  • Personalizar os controles de acordo com as suas necessidades organizacionais e de segurança específicas
  • Assumir uma posição mais proativa em relação à segurança
  • Incentivar uma cultura resiliente
  • Melhorar sua postura de compliance regulatória organicamente

Uma abordagem de cibersegurança baseada em riscos proporciona todos esses benefícios e muitos outros, devido à sua concepção fundamental e pragmática. Ao entender primeiro quais são os ativos mais críticos e, depois, responder aos cenários de risco reais que possam afetá-los, sua organização pode seguir o caminho certo rumo a uma segurança proativa que minimize o panorama de ameaças.

Ao incentivar os funcionários a trabalharem com os membros da equipe de riscos e comunicarem ameaças reais (em paralelo com a busca proativa de ameaças pela equipe de riscos), a cultura da sua empresa se torna mais resiliente às mudanças no ambiente externo. Isso, por si só, também ajuda a melhorar a postura de controle de maneira orgânica, o que, ao mesmo tempo, apoia ainda mais o amadurecimento subsequente da compliance regulatória.

 

Quais são as estruturas baseadas em riscos a serem consideradas?

Para gerenciar de forma mais eficaz seu programa de cibersegurança, implemente uma estrutura baseada em riscos que também o ajude a manter a compliance, quando necessário. As duas estruturas mais bem-reconhecidas incluem:

 

  • A ISO 27001, publicada pela Organização Internacional de Normalização e pela Comissão Eletrotécnica Internacional, é uma norma internacionalmente reconhecida que fornece uma estrutura baseada em riscos para Sistemas de Gestão de Segurança da Informação (SGSI). Ela é concebida para ajudar a garantir a confidencialidade, a integridade e a disponibilidade contínuas das informações, podendo ser usada por organizações de qualquer tipo para gerenciar a segurança dos ativos. Obter a certificação dentro dessa estrutura também pode lhe render vários benefícios comerciais, como preservar negócios atuais, conquistar novos acordos e melhorar a postura geral da segurança.

 

  • O National Institute of Standards and Technology (NIST) é uma agência não regulatória subordinada ao Departamento de Comércio dos EUA, encarregada de pesquisar e estabelecer normas em todas as agências federais. Especificamente, a Publicação Especial 800-53 do NIST define as normas e diretrizes para que as agências federais arquitetem e gerenciem seus respectivos sistemas de segurança da informação.

    Embora o NIST tenha sido estabelecido para orientar quanto à proteção dos dados privados de agências e cidadãos, essa estrutura baseada em riscos se aplica a um vasto leque de organizações nos setores público e privado. Por esse motivo, empresas do setor privado podem e optam por implementar essa estrutura ou partes dela na formação de seus próprios programas de segurança cibernética, visto ser ela uma norma amplamente aceita como referência no mercado. A concepção geral da NIST 800-53 é focada nas empresas, ou seja, os controles não são tão específicos quanto outros programas de conformidade regulatória. 

 

Gerenciamento de segurança na nuvem com a Rackspace Technology

Você não precisa cuidar sozinho do gerenciamento de segurança na nuvem. A Rackspace Technology pode se aliar a você para tratar de cada elemento da sua jornada de segurança, tirando o peso da sua equipe interna para que ela possa se concentrar em iniciativas mais estratégicas.

Por meio de nossa experiência com milhares de clientes e nosso extenso ecossistema de parceiros, podemos ajudar você a definir e implementar uma estratégia de segurança de nuvem sob medida para manter sua empresa segura.

Você sabe qual é sua pontuação de risco em cibersegurança? Faça nossa autoavaliação de 15 perguntas hoje mesmo. Em seguida, aproveite uma consultoria profissional com dos nossos especialistas em nuvem, que analisará seus resultados e recomendará melhores práticas para solucionar as brechas de segurança identificadas.

 

Descubra sua pontuação de risco em cibersegurança.