Regulamentações de segurança cibernética
Os requisitos de conformidade destinam-se a aumentar a transparência e a responsabilização da segurança cibernética. À medida que as ameaças cibernéticas aumentam, também aumenta o número de estruturas de conformidade e a especificidade dos controlos de segurança, políticas e atividades que incluem.
Para os CISOs e suas equipes, isso significa que a conformidade é um processo demorado e de alto risco, que exige fortes habilidades organizacionais e de comunicação, além de experiência em segurança.
Recorremos ao grupo de especialistas do CISO para obter a sua opinião sobre as melhores formas de abordar os requisitos de segurança de dados e conformidade de privacidade. Neste weblog, eles compartilham estratégias para reduzir a dificuldade de lidar com o processo de compliance, incluindo gestão de riscos e alinhamento das partes interessadas.
Proceed lendo para obter recomendações para transformar a conformidade de um “mal necessário” em uma ferramenta estratégica que ajuda você a avaliar o risco cibernético, obter orçamento e adesão e aumentar a confiança dos clientes e acionistas.
Quais CISOs se preocupam mais com a conformidade?
A forma como os CISOs veem a conformidade da segurança cibernética pode variar muito, dependendo do tamanho da empresa, da geografia, do setor, da sensibilidade dos dados e do nível de maturidade do programa. Por exemplo, se você for uma empresa de capital aberto nos Estados Unidos, não terá outra escolha senão cumprir diversas regulamentações, bem como manter avaliações de risco e planos de ação corretivas.
Se você for uma agência governamental ou vender para uma, terá que atender a requisitos específicos de conformidade do setor público. Bancos, organizações de saúde, infraestrutura, empresas de comércio eletrônico e outras empresas têm regras de conformidade específicas do setor a seguir.
Segurança não é igual a conformidade.
Mesmo que você não se enquadre em uma dessas categorias, há muitos motivos pelos quais você precisará demonstrar as melhores práticas de segurança, como buscar a certificação SOC ou solicitar um seguro de segurança cibernética. Para todas as organizações, amplas estruturas de conformidade de segurança cibernética, como NIST CSF e ISO, fornecem modelos a serem seguidos e estruturas para comunicação de resultados.
Dito isto, “segurança não é igual a conformidade” é um mantra frequentemente ouvido entre os CISOs. Certamente, só porque você está em conformidade, isso não significa que você está seguro. Organizações de segurança cibernética altamente maduras podem considerar a conformidade como o mínimo e ir muito além dos componentes necessários para proteger suas organizações.
Compliance como facilitador de negócios
Embora um CISO possa recomendar investimentos e práticas de segurança cibernética para atender aos requisitos de conformidade, ele não é o tomador de decisão ultimate. Portanto, uma responsabilidade elementary de um CISO é comunicar o risco de não conformidade e trabalhar com outros líderes da empresa para decidir quais iniciativas priorizar. O risco, neste contexto, incorpora não apenas o risco técnico, mas também o risco empresarial.
Steve Zalewski, ex-CISO da Levi Strauss, gosta de usar a metáfora “cenoura e castigo”. “Historicamente, a auditoria e a conformidade têm sido o obstáculo que obriga você a fazer algo,” ele compartilha no podcast Protection-in-Depth, “mas obrigar (você) a fazer isso não significa que o negócio esteja alinhado ao valor de fazê-lo.” Para evitar atritos, ele recomenda mostrar às pessoas o valor comercial da segurança cibernética compatível. “Tem que haver um componente de incentivo para fazê-los sentir que têm uma escolha no assunto,” ele diz.
A liderança deve pesar os custos e benefícios de garantir a conformidade com os custos potenciais da não conformidade
Digamos que uma organização não atenda totalmente às melhores práticas de segurança para gerenciamento de privilégios. Embora o incumprimento possa resultar em multas regulamentares e ações judiciais dos acionistas, as lacunas de segurança subjacentes podem causar um impacto ainda maior nos negócios, incluindo tempo de inatividade, pagamentos de ransomware e perda de receitas. O cumprimento dos requisitos de conformidade, por outro lado, poderia agregar valor ao negócio, como vendas mais rápidas, parcerias mais fortes ou taxas de seguro cibernético mais baixas.
Como parte de um programa abrangente de gestão de riscos, os conselhos e a liderança executiva devem pesar os custos e benefícios de garantir a conformidade com os custos potenciais da não conformidade. Em alguns casos, podem decidir que um determinado nível de risco é aceitável e optar por não implementar salvaguardas adicionais. Em outros casos, eles podem dobrar.
Como os CISOs usam estruturas de conformidade para planejar seu roteiro de segurança cibernética
Alguns CISOs utilizam estruturas de conformidade como metodologia para técnicas e processos a incorporar no seu programa de segurança cibernética. Essencialmente, eles informam as prioridades do programa e criam uma lista de compras para soluções essenciais que se alinham com o programa que estão tentando construir.
No podcast Viewers First, Brian Haugli, ex-CISO da Fortune 500, vê a diferença entre ser dependente da conformidade e usar estruturas de conformidade para orientar o gerenciamento de riscos informado.
“Não podemos ser preto e branco. Temos de ser capazes de tomar decisões baseadas no risco, para dizer: ‘Aceitarei este risco porque não posso dar-me ao luxo de fechá-lo neste momento. Mas farei essas coisas para mitigar o risco a um nível suficientemente baixo que me permita aceitá-los.“
CISOs precisam de parceiros em compliance
Os CISOs não estão sozinhos no barco da conformidade. Eles devem construir parcerias com equipes jurídicas, responsáveis pela privacidade e comitês de auditoria ou de risco para compreender as mudanças nos requisitos de conformidade e decidir como abordá-los.
Às vezes, esses parceiros internos exigem que as equipes de segurança implementem controles mais fortes, mas também podem fazer pausas. Como nos disse um CISO de um fornecedor de tecnologia em rápido crescimento: “Francamente, o Jurídico me supera todos os dias da semana. Eles me dizem o que posso e o que não posso fazer. Eu adoraria poder monitorar o comportamento de todos, mas as leis de privacidade dizem que não posso fazer isso.”
As equipes de conformidade fazem muitas coisas que os engenheiros e analistas de segurança não têm tempo ou recursos para fazer. Eles responsabilizam a segurança, verificando novamente se os controles estão funcionando conforme o esperado. Eles atuam como intermediários entre equipes de segurança, reguladores e auditores para demonstrar conformidade, quer isso signifique coletar evidências por meio de questionários manuais de segurança ou por meio de integrações tecnológicas.
Por exemplo, para uma certificação do sector público, os controlos de segurança precisam de ser monitorizados, registados e retidos durante pelo menos seis meses de dados para evidenciar que fizeram o que disseram que iriam fazer.
Ferramentas e recursos que apoiam a conformidade
Os registos de riscos são úteis para alinhar todas as partes interessadas, documentando todos os riscos e organizando-os por prioridade. Com todos analisando as mesmas informações, você pode chegar a um acordo sobre as ações apropriadas. Como parte de um programa de gestão de riscos, as políticas, padrões e procedimentos são revisados regularmente e quaisquer alterações são aprovadas antes da implementação.
Usando ferramentas como sistemas GRC e monitoramento contínuo de conformidade, as organizações podem rastrear atividades de segurança contínuas e relatar resultados. Os sistemas GRC podem se vincular a SIEMs para coletar logs e scanners de vulnerabilidade que mostram que as verificações foram concluídas. “Em vez de ficarmos embaralhando planilhas, criamos vários conectores que se integram à nossa plataforma GRC para comprovar que estamos em conformidade,” explica o CISO técnico. “Eles mapeiam as certificações em um único painel de vidro; portanto, quando um auditor chega, mostramos a ele uma tela que diz: ‘Aqui estão as evidências.‘”
Além das ferramentas, muitas empresas dependem de terceiros para realizar avaliações de conformidade. Eles podem realizar uma auditoria de conformidade interna antes de uma externa para garantir que não haja surpresas caso os reguladores liguem.
Cumpra uma vez, aplique a muitos
A maioria das organizações possui vários órgãos de conformidade aos quais devem responder, bem como provedores de seguros cibernéticos, clientes e parceiros. Embora a conformidade possa ser um fardo, a boa notícia é que existem técnicas para agilizar o processo de avaliação. “Se você observar todos os principais órgãos de conformidade, cerca de 80% dos requisitos são os mesmos,” diz o CISO de um provedor de SaaS. “Você pode alinhar-se com uma estrutura como o NIST e aplicar as mesmas práticas em todas elas.”
Por exemplo, requisitos de gerenciamento de acesso privilegiado (PAM), como gerenciamento de senhas, autenticação multifator (MFA) e controles de acesso baseados em funções, são comuns em estruturas de conformidade. Você pode se aprofundar nos detalhes para ver como o PAM aparece em uma variedade de requisitos de conformidade em Delinea.com.
Requisitos de conformidade emergentes
A conformidade é um espaço fluido com requisitos que evoluem para lidar com mudanças nos padrões de risco e nas condições de negócios. Os CISOs recorrem aos órgãos de compliance para obter orientação sobre a gestão de riscos cibernéticos emergentes, como a Inteligência Synthetic.
No futuro, os CISOs esperam que garantir a conformidade se torne uma parte ainda maior do seu trabalho. À medida que a indústria enfrenta ameaças cada vez maiores, a conformidade é uma parte elementary de uma abordagem estratégica e abrangente à gestão de riscos de segurança cibernética.
Para obter mais informações sobre este tópico, confira o episódio do podcast 401 Entry Denied de Delinea: Protegendo a conformidade: insights de especialistas com Steven Ursillo
Precisa de um guia passo a passo para planejar sua jornada estratégica rumo à segurança de acesso privilegiado?
Comece com uma lista de verificação PAM gratuita e personalizável.
