0
0
Embora certos órgãos do setor estabeleçam padrões e exigências específicas de segurança cibernética, segui-los não é suficiente para proteger sua organização de ataques cibernéticos e alcançar resiliência.
A segurança começou com compliance
A conformidade foi o principal impulsionador de muitas empresas para a construção de um programa de segurança cibernética. Começando com estruturas como a Lei de Portabilidade e Responsabilização de Seguros de Saúde (HIPAA) e o Programa de Segurança da Informação do Portador do Cartão Visa (CISP) – que mais tarde evoluiu para as Normas de Segurança de Dados da Indústria de Cartões de Pagamento, ou PCI DSS – o não cumprimento das exigências de conformidade foi cumprido com penalidades rigorosas que incluíam multas pesadas ou a incapacidade de processar pagamentos.
Embora estas regulamentações tornassem necessária a formação de equipes de segurança, elas eram freqüentemente constituídas por funcionários que supervisionavam a rede e a infra-estrutura. Com pouca ou nenhuma experiência em segurança, estas primeiras equipes consideraram a estrutura de conformidade como um roteiro definitivo para estarem seguras. Os conselhos destes órgãos reguladores notaram que as empresas faziam apenas o que era mandatado, então eles desenvolveram estruturas para abranger mais controles. Isto inevitavelmente levou ao custo de ser complacente, consumindo todo o orçamento de segurança.
Auditoria ou avaliação
Quando os ataques cibernéticos ainda estavam em sua infância, as penalidades aplicadas pelas agências reguladoras eram freqüentemente o maior motivador por trás da implementação da segurança. Para garantir que os controles fossem implementados, os órgãos reguladores exigiam níveis variáveis de auditoria. Auditorias maiores exigiam verificação por terceiros, e a natureza subjetiva do controle versus intenção criou facções de avaliadores e auditores.
Enquanto a auditoria está analisando as palavras de controle específico e “verificando as caixas”, a avaliação analisa a intenção por trás do controle e se as capacidades implementadas cumprem essa intenção. A avaliação vai um passo além para não apenas garantir que o controle esteja em vigor, mas também verificar se ele está melhorando a postura de segurança da organização.
Com poucos ciberperitos de longo prazo para avaliar a intenção do controle, as avaliações anteriores foram principalmente auditorias e criaram uma pandemia de organizações que estavam em conformidade, mas não seguras, freqüentemente adquirindo hardware e software de segurança apenas para verificar a caixa (sem nunca implementá-los).
Mantendo a conformidade relevante
Tipicamente, a degradação na segurança – o retorno da conformidade vem de controles ultrapassados sem explicação de intenção.
O PCI DSS estreou em 2004 com a v.1.0, e 17 anos depois aguardamos ansiosamente a chegada da v4.0. Embora ajustes e emendas possam aproximar uma estrutura do atual cenário de ameaças, o ciclo evolutivo de táticas, técnicas e procedimentos de ataque (TTPs) faz com que até mesmo um relançamento anual pareça um flerte com irrelevância.
Ainda mais exacerbando o ponto é a natureza altamente prescritiva dos controles ultrapassados, agindo mais como uma diretiva tática do que como um objetivo estratégico. Referindo-se à conversa acima sobre assessor vs. auditor, se as organizações forem auditadas sobre a presença de tecnologia ultrapassada que não se aplica mais aos TTPs atacantes em vez da capacidade de cumprir a intenção do controle com tecnologia mais capaz, a conformidade não só dificulta a evolução da segurança, mas também é contraproducente.
Mentalidade atual de conformidade
Com o aumento da publicidade dos ataques cibernéticos de hoje e o aumento dos danos que eles estão infligindo, o custo da insegurança está superando o custo do não cumprimento e ganhando muito mais atenção da diretoria e da suíte C. Entretanto, a onda gigantesca de exigências de conformidade cobrindo tudo, desde PII até infra-estrutura crítica, continua a puxar os recursos necessários para implementar e administrar a segurança.
As estruturas regulatórias devem definir os resultados esperados em termos de segurança e as penalidades pelo não cumprimento desses resultados – e não ditar os meios para alcançar os resultados. Os profissionais de segurança cibernética de hoje são muito mais competentes do que aqueles do passado que foram puxados de outros departamentos para atender a uma exigência.
Com a carreira da maioria dos CISOs enraizados na segurança, é hora de os órgãos reguladores confiarem nos especialistas para alcançar os resultados esperados da conformidade, enquanto protegem a marca e a reputação da organização de uma forma que permita os negócios.
FONTE: HELPNET SECURITY