Sem tempo para ler? Que tal OUVIR o podcast sobre esse artigo? Clique no play

O compliance em TI é como o primo esquecido da segurança da informação. Ele não recebe tanta atenção quanto as políticas e tecnologias de prevenção de violação de dados, mesmo que seja igualmente importante.

Eis o motivo: embora às vezes a tecnologia seja responsável por violações de segurança, o erro humano é um culpado muito mais frequente. A maioria das organizações possui regras e políticas de uso da tecnologia para evitar esses erros. Mas, sem compliance, elas significam muito pouco.

Se sua empresa não pensou muito em compliance, está faltando uma parte importante da equação de segurança.

Ou seja, o que aumenta os riscos de uma violação de dados. No entanto, com os programas, ferramentas e estratégias de educação adequados, você pode mudar isso.

Muitas organizações acreditam que a segurança da informação e a conformidade são a mesma coisa ou que atender aos regulamentos de conformidade cobrirá todas as necessidades de segurança.

Mas, a realidade é que elas desempenham papéis muito diferentes na proteção da sua organização.

Acompanhe conosco e entenda as diferenças!

O que é segurança da informação

A segurança da informação protege as redes, sistemas, programas e dados de uma organização contra possíveis ataques cibernéticos, garantindo que as pessoas, processos e tecnologia trabalhem em conjunto para se defender contra ameaças.

Uma solução eficaz de gerenciamento de segurança da informação analisará a organização como um todo e determinará várias maneiras de proteger os negócios e seus ativos.

Isso inclui a implementação dos processos físicos, técnicos e administrativos adequados.

O que é compliance em TI

Por outro lado, o compliance com a segurança é demonstrar que o programa de segurança da informação da sua organização atende aos padrões, regulamentos e estruturas de segurança específicos, como LGPD e PCI DSS, para a segurança de diferentes tipos de dados.

Semelhante à segurança da informação, o compliance também ajudará a proteger ativos digitais. No entanto, as medidas de conformidade nesse caso são definidas por terceiros, não pela empresa em si.

Pode ser o governo, um cliente ou algum outro tipo de terceiro, mas essencialmente a conformidade com a segurança é uma maneira de atender aos requisitos de terceiros.

Segurança da Informação vs. Compliance

Portanto, a grande diferença entre segurança e conformidade é que a segurança da informação descreve e implementa práticas específicas a serem implementadas para proteger os ativos de uma empresa, enquanto a conformidade aplica medidas de segurança exigidas por terceiros específicos para proteger certos tipos de dados.

A segurança da informação é implementada e praticada pela empresa para se proteger, enquanto o compliance é implementado para atender a certos requisitos externos.

Para ilustrar ainda mais a diferença entre segurança de dados e conformidade, vamos analisar a violação de dados da Target Corporation que ocorreu em 2013, expondo 70 milhões de números de cartões de crédito e débito dos clientes.

Verificou-se que a organização estava compatível com o PCI DSS meses antes da violação dos dados, mas os invasores ainda obtiveram acesso através de um fornecedor terceirizado que foi enganado por um e-mail de phishing.

A lição aqui é que, embora sua organização possa estar em conformidade com os padrões ou regulamentos de segurança, isso não significa que você esteja realizando uma segurança de dados com eficiência.

A segurança da informação deve ser uma atividade 24x7x365 para proteger a infraestrutura de TI da sua organização contra ameaças em potencial.

Uma abordagem estritamente baseada em conformidade, apesar de necessária, não é suficiente para proteger sua organização, ativos, dados e operações contra ataques cibernéticos.

Como melhorar o compliance em TI

Não importa quem define as políticas — a liderança da sua empresa ou uma organização governamental — garantir que os funcionários as sigam é uma tarefa crítica que requer tempo e recursos dedicados.

Existem algumas etapas simples que você pode seguir para melhorar drasticamente o compliance com a TI. Entre elas:

  • Revisar suas políticas: primeiro, verifique se vale a pena aplicá-las. Elas são fortes, justas e refletem as melhores práticas de segurança da informação? Se elas puderem ser melhoradas, resolva isso antes de focar na conformidade;
  • Educar: certifique-se de que seus funcionários entendam suas políticas de uso de tecnologia e porque elas estão em vigor. Em vez de enviar uma política por e-mail e esperar que os funcionários a leiam, considere realizar uma breve reunião ou sessão informativa;
  • Monitorar: implemente um software de monitoramento que o alerte sobre comportamentos suspeitos ou quando as regras são violadas. Essa é uma das poucas maneiras de identificar problemas de conformidade antes que eles causem danos. Informe aos funcionários sobre esse monitoramento de atividades do usuário e explique por que ele está em vigor — para proteger a empresa, todos que trabalham lá e todos os seus clientes;
  • Designar um líder: alguém dentro da sua organização deve ser responsável pelo compliance de TI, incluindo tarefas como revisar regularmente políticas, supervisionar a fiscalização e avaliar e implementar a tecnologia que rastreia a conformidade.
Segurança de dados e compliance devem trabalhar juntos

Chegando ao entendimento de que segurança de dados e compliance não são a mesma coisa, você se perguntar quando usar um e quando usar o outro. A resposta é que você deve gerenciar a segurança e cumprir a conformidade o tempo todo.

A melhor prática é implementar uma estratégia que vá além da verificação dos itens exigidos pelo compliance e introduza um plano de segurança da informação que, espera-se, cubra tudo.

Criar e implementar uma estratégia de segurança de dados com base nas necessidades da sua organização e realizar uma avaliação de riscos são etapas importantes para o desenvolvimento de um programa eficaz de segurança.

Essas etapas analisam sua tecnologia e processos internos para identificar áreas de vulnerabilidades e aprimorar sua postura de segurança, ao mesmo tempo que atende aos requisitos de conformidade.

É importante observar que as organizações não devem ver os padrões e regulamentos de compliance como um guia para criar um programa de segurança de dados, mas o contrário. Um programa de segurança de dados deve incluir requisitos de conformidade, mas também considerar os ativos da organização, que estão no centro dos negócios.

Os elementos que compõem um programa eficaz de segurança de dados incluem:

  • Alinhamento de negócios;
  • Avaliação de lacunas e riscos;
  • Gerenciamento de riscos cibernéticos;
  • Identificação e mitigação de ameaças;
  • Gerenciamento de conformidade;
  • Gerenciamento de identidade e acesso;
  • Segurança de redes e aplicativos;
  • Segurança física;
  • Recuperação de desastres;
  • Segurança operacional.
Terceirização de suas necessidades de segurança e compliance

Às vezes, pode ser útil para sua empresa terceirizar a segurança de dados e o compliance da organização. Construir uma forte estratégia de segurança que atenda aos requisitos de conformidade exige um conhecimento profundo do setor de segurança, incluindo o entendimento das tendências recentes em ataques. É preciso muito tempo e energia para implementar, o que poderia ser melhor utilizado com foco no crescimento de seus negócios.

Seu parceiro deve analisar a missão e os objetivos da organização, os principais ativos de negócios e os controles de segurança cibernética. Além disso, os riscos táticos e de segurança operacional para desenvolver um programa de segurança que atenda às necessidades da organização e seus requisitos de conformidade.

Fonte: por   em 13.01.2020