0
0
Avançar para uma estratégia de TI em nuvem alinhada com os objetivos de negócios organizacionais requer um programa de cibersegurança digitalmente transformado. Ao amadurecer programas de segurança e conformidade, as organizações quase inevitavelmente começam com uma avaliação de risco que requer a identificação de todos os dados, dispositivos, redes, software e usuários. Fundamentalmente, as organizações precisam focar seus programas identificando dados confidenciais e, em seguida, encontrando maneiras de protegê-los adequadamente contra cibercriminosos.
O que são dados confidenciais?
Em alto nível, dados confidenciais são informações que uma pessoa ou organização quer deixar de estar disponível publicamente, pois a divulgação das informações pode levar a danos como roubo de identidade ou fraude. Em alguns casos, dados confidenciais estão relacionados a indivíduos, como informações de pagamento ou data de nascimento. Em outros casos, dados confidenciais podem ser informações corporativas proprietárias.
Alguns exemplos de informações pessoais não públicas (NPI), também referidas como informações pessoalmente identificáveis (PII), incluem as de uma pessoa:
- Nascimento
- Endereço
- Número da previdência social
- Informações da conta bancária
- Informações sobre cartão de crédito/débito
- Informações de saúde
- Dados raciais ou étnicos
- Opiniões políticas
- Crenças religiosas ou filosóficas
- Filiação sindical
- Dados genéticos ou biométricos
- Sexualidade ou informação de gênero
Alguns exemplos de informações corporativas não públicas incluem:
- Trade secrets
- Financials
- Contracts
Quais são alguns padrões regulatórios e industriais que requerem a proteção de dados confidenciais?
Todos os anos, os governos aprovam novas regulamentações sobre como as empresas devem proteger os dados. Desde a data de aplicação do Regulamento Geral de Proteção de Dados (GDPR), em maio de 2018, mais países e governos locais têm procurado proteger a privacidade dos dados. Em 2018, a Assembleia Legislativa do Estado da Califórnia aprovou a Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA). Em 2019, 43 estados e Porto Rico introduziram ou consideraram cerca de 300 regulamentos de segurança de dados ou privacidade. Durante esse mesmo ano, 31 estados promulgaram uma nova legislação relacionada à segurança cibernética. Além disso, nos últimos cinco anos muitos padrões do setor foram atualizados, incluindo a Organização Internacional para a Padronização (ISO) 27701 em 2019.
Alguns requisitos de conformidade, como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), detalham controles específicos que as organizações devem usar, enquanto outras aplicam generalizações que permitem a personalização. Apesar do número e da diversidade dessas leis, quase todas incorporam um conjunto semelhante de requisitos para proteger dados confidenciais.
Como proteger dados confidenciais com uma abordagem de segurança em primeiro lugar para a conformidade
Compliance, por si só, não é segurança. O cumprimento é sobre seguir as regras estabelecidas para que o órgão regulador não precise aplicar multas por violar a lei ou a norma. No entanto, os órgãos governamentais vêm com processos burocráticos que significam que os cibercriminosos são mais avançados em suas estratégias do que as leis e normas levam em conta. Com isso em mente, uma abordagem de segurança para proteger dados confidenciais mitiga ameaças cibernéticas e, ao mesmo tempo, atua como linha de base para atender aos requisitos de conformidade.
Avaliar o risco
Uma avaliação de risco é um dos aspectos mais importantes da proteção de dados confidenciais porque requer uma organização para identificar todos os seus usuários, dispositivos, redes, aplicativos e informações. Depois de concluir o processo de identificação, você precisa categorizar os usuários, dispositivos, redes, aplicativos e informações com base no quão negativamente um vazamento de dados afetaria a organização. Informações confidenciais são de “alto risco”, enquanto as informações de marketing podem ser de risco “baixo”. Finalmente, você precisa avaliar todos esses possíveis vetores de ataque e decidir se deseja aceitar, transferir, mitigar ou recusar o risco.
Definir controles
Para os riscos que sua organização escolhe para aceitar ou mitigar, você precisa definir controles apropriados para impedir o acesso não autorizado a dados confidenciais. Por exemplo, toda organização com mais de um funcionário coleta o PII como parte de suas operações de recursos humanos. Uma empresa não pode se recusar a coletar, transmitir ou armazenar essas informações. Portanto, ele precisa colocar controles mitigadores no lugar que impeçam atores mal-intencionados de acessar ou adquirir.
Monitorar a eficácia do controle
Como os cibercriminosos evoluem continuamente suas metodologias de ameaças, as organizações muitas vezes acham que os controles que protegem dados confidenciais hoje podem não ser eficazes amanhã. Monitorar continuamente o ecossistema de TI de uma organização é um controle padrão em quase todos os novos regulamentos ou padrões do setor. Com mais informações armazenadas na nuvem, atores mal-intencionados podem usar mais facilmente vulnerabilidades conhecidas (CVEs) para obter acesso a dados confidenciais.
Riscos de correção
O monitoramento só explica parte da estratégia contínua. Para proteger verdadeiramente as informações, as organizações precisam identificar novos riscos para seu ecossistema de TI e remediar quaisquer fraquezas. Esse processo pode parecer fácil, mas pesquisas indicam que um Centro de Operações de Segurança Corporativa (SOC), o departamento responsável por responder a novos alertas de segurança cibernética, pode ver até 10.000 alertas em um determinado dia. Alguns desses alertas podem ser “falsos positivos”, ou riscos potenciais que realmente não existem. Para corrigir as fraquezas mais importantes, as organizações precisam priorizar os riscos de their adequadamente e corrigir os problemas de maior risco primeiro.
Atividades documentais
Quase todos os regulamentos exigem que as organizações não apenas digam como planejam proteger informações confidenciais, mas também documentar suas ações. Para atender aos requisitos de conformidade, as organizações precisam documentar todas as políticas, processos e atividades para provar que seus programas de segurança e privacidade são eficazes. Um terceiro independente, chamado de auditor, revisa a documentação e fornece um relatório contendo quaisquer achados, ou problemas, com o programa da organização.
Relatório ao Conselho de Administração
À medida que os governos olham mais de perto para o impacto que o cibercrime tem na vida das pessoas, regulamentos e padrões do setor exigem cada vez mais que a liderança sênior forneça atualizações aosseus Conselhos de Administração. Os governos buscam responsabilizar a liderança corporativa e exigir uma revisão significativa dos riscos para ajudar a proteger as informações dos clientes.
O SecurityScorecard permite proteção de dados confidenciais
À medida que as organizações procuram proteger informações confidenciais, elas precisam de visibilidade contínua em seus complexos ecossistemas de TI. A plataforma de classificações de segurança do SecurityScorecard oferece uma visão rápida sobre a eficácia de seus controles de proteção de dados. A escala de classificação A-F da nossa plataforma fornece uma visão externa em dez grupos de fatores de risco para que as organizações possam monitorar, remediar e documentar continuamente suas atividades de proteção de dados.
À medida que a segurança cibernética e a privacidade se tornam ainda mais importantes com estratégias aceleradas de transformação digital, ganhar visibilidade em tempo real em novos riscos para mitigar rapidamente ameaças e proteger dados confidenciais será ainda mais crítico para as empresas.
FONTE: SECURITY SCORECARD