0
0
Compliance é provavelmente um dos tópicos mais maçante em segurança cibernética. Vamos ser honestos, não há nada para ficar animado porque a maioria das pessoas vê isso como um exercício de caixa de carrapato. Não importa de qual regulação de conformidade você fala – todas elas recebem um gemido coletivo das empresas sempre que você começa a falar sobre isso.
O problema é que os requisitos de conformidade muitas vezes estão sendo mal escritos, vagos e confusos. Na minha opinião, a confusão em torno da conformidade vem da redação, por isso não é surpresa que as empresas estejam lutando, especialmente quando têm que cumprir vários requisitos simultaneamente.
A má escrita está sufocando as normas de conformidade
Tome a ISO 27001 como exemplo. Seu objetivo é melhorar a gestão de segurança da informação de uma empresa e seu processo tem seis partes, que incluem comandos como “realizar uma avaliação de risco”, “definir uma política de segurança” e “gerenciar riscos identificados”. Os requisitos para cada um desses comandos são extremamente vagos e desnecessariamente subjetivos.
A Lei Sarbanes-Oxley (SOX), que abrange todas as empresas dos Estados Unidos, não é melhor. A Seção 404 diz vagamente que todas as organizações de capital aberto devem demonstrar “due diligence” na divulgação de informações financeiras, mas depois não explica o que significa “due diligence”.
A Lei Gramm-Leach-Bliley (GLBA) exige que as instituições financeiras dos EUA expliquem práticas de compartilhamento de informações aos seus clientes. Diz que as organizações financeiras têm que “desenvolver um plano de segurança da informação por escrito”, mas depois não oferece nenhum conselho sobre como conseguir isso.
Mesmo a Lexcel (credenciamento que indica qualidade em relação às normas de gestão de práticas jurídicas) no Reino Unido, que é escrita por advogados para advogados, não é clara: “As práticas devem ter uma política de gestão da informação com procedimentos de proteção e segurança dos ativos da informação”.
Para uma profissão que se orgulha de poder manter a clareza absoluta, estou surpreso que a Lexcel permita esse tipo de subjetividade em seus requisitos de conformidade.
Não é fácil escrever para um público tão amplo.
Olha, eu entendo. É um trabalho muito complicado escrever requisitos de conformidade. Ela precisa ser aplicável a todas as organizações dentro de um determinado campo, cada uma das quais terá suas diferenças na maneira como conduzem os negócios e como eles criaram sua infraestrutura tecnológica.
Além disso, os escritores estão trabalhando contra o relógio com os requisitos de conformidade. Os regulamentos de TI estão mudando a um ritmo tão rápido que os requisitos que eles escrevem hoje podem estar desatualizados amanhã.
No entanto, acho que aqueles que escrevem os requisitos devem tomar como exemplo o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). O PCI DSS se aplica a todas as organizações que armazenam dados de titulares de cartão e os requisitos são claros, atualizados regularmente, e você pode encontrar tudo o que precisa em um só lugar.
A forma como a conformidade com o PCI DSS é estruturada (em termos de exigência, procedimentos de teste e orientação) é muito mais clara do que qualquer outra coisa que eu tenha visto. Ele contém muito pouco espaço para subjetividade, e você sabe exatamente onde você está com ele.
O GDPR também é muito bem escrito e detalhado. Os muitos artigos referentes à proteção de dados são específicos, compreensíveis e implementáveis.
Por exemplo, quando se trata de acesso a dados, esta frase é perfeitamente clara: “O acesso não autorizado também inclui destruição acidental ou ilegal, perda, alteração ou divulgação não autorizada de dados pessoais transmitidos, armazenados ou processados de outra forma” (artigos 4, 5, 23 e 32).
Também é muito claro quando se trata de processos de auditoria: “Você precisa manter um registro de atividades de processamento de dados, incluindo informações sobre ‘destinatários aos quais os dados pessoais foram ou serão divulgados’, ou seja, quem tem acesso aos dados” (Artigos 5, 28, 30, 39, 47).
Então, enquanto você está enfrentando muitos requisitos de conformidade, você precisa ter uma boa estratégia em vigor. No entanto, pode ficar complexo quando você está tentando cumprir vários mandatos. Se eu puder te dar uma dica, é encontrar as semelhanças entre todos eles, antes de chegar a uma solução.
Você precisa fazer o básico direito
Na minha opinião, a natureza confusa da conformidade só gera o bombardeio implacável de material de marketing de fornecedores sobre “como você pode ser compatível com X” ou as “cinco coisas que você precisa saber sobre Y”.
Você tem que entender que no centro de qualquer mandato de conformidade está o desejo de manter os dados protegidos seguros, permitindo apenas o acesso àqueles que precisam por razões comerciais. É por isso que tudo o que você precisa fazer com a conformidade é começar com o básico: armazenamento de dados, auditoria de arquivos e gerenciamento de acesso. Faça isso direito, e você está a caminho de demonstrar sua vontade de cumprir.
FONTE: HELPNET SECURITY