A conformidade com a segurança cibernética refere-se ao cumprimento de um conjunto de regras e regulamentos sobre como as organizações devem lidar e proteger dados confidenciais. A conformidade é importante para qualquer empresa que coleta, processa ou armazena informações de identificação pessoal (PII), informações de saúde protegidas (PHI), dados financeiros ou outras informações confidenciais.
Alguns dos principais regulamentos que as organizações devem cumprir incluem:
- A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), que protege as PHI. As organizações de saúde e seus parceiros comerciais devem cumprir a HIPAA.
- O Regulamento Geral de Proteção de Dados (GDPR) que protege PII de indivíduos na União Europeia. Qualquer empresa que comercialize ou recolha dados de pessoas na UE deve cumprir o RGPD.
- Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS), que se aplica a qualquer organização que aceite pagamentos com cartão de crédito. Eles devem cumprir para garantir que os dados de pagamento do cliente sejam protegidos.
- A Lei Sarbanes-Oxley (SOX), que se aplica a empresas de capital aberto nos EUA, garante a conformidade com a SOX, garantindo relatórios financeiros e controles internos precisos.
Cumprir estes e outros padrões de segurança cibernética é importante para evitar possíveis problemas legais e penalidades. O não cumprimento pode resultar em multas pesadas e danos à reputação de uma organização.
Para alcançar a conformidade, as organizações devem implementar controles técnicos como criptografia de dados, gerenciamento de acesso e segurança de rede. Eles também devem ter políticas e procedimentos apropriados em vigor, realizar avaliações de risco e treinar os funcionários nas melhores práticas de segurança. Estruturas de conformidade como a Estrutura de Segurança Cibernética do NIST podem ajudar a orientar as organizações na construção de um programa robusto de conformidade de segurança cibernética.
Principais estruturas e padrões de conformidade
Existem vários requisitos regulamentares importantes para conformidade de segurança cibernética que as organizações precisam compreender:
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
O PCI DSS se aplica a qualquer organização que processe, armazene ou transmita pagamentos com cartão de crédito. Consiste em 12 requisitos relacionados à construção e manutenção de um ambiente seguro de dados de cartões de pagamento. As organizações devem validar anualmente a conformidade com o PCI DSS por meio de uma avaliação.
Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA)
A HIPAA estabelece requisitos para proteger informações confidenciais sobre a saúde do paciente. Aplica-se a planos de saúde, câmaras de compensação de cuidados de saúde e prestadores de cuidados de saúde. A HIPAA exige salvaguardas administrativas, físicas e técnicas para garantir a confidencialidade, integridade e disponibilidade de informações eletrônicas de saúde protegidas (ePHI).
Regulamento geral de proteção de dados (GDPR)
O GDPR é um regulamento da União Europeia que protege os dados pessoais dos cidadãos da UE. Aplica-se a organizações que recolhem ou processam dados pessoais de indivíduos na UE, independentemente de a organização estar sediada na UE. O GDPR exige transparência, consentimento, minimização de dados, precisão, limitação de armazenamento, integridade, confidencialidade e responsabilidade.
Lei Sarbanes-Oxley (SOX)
A SOX estabelece requisitos para a precisão e confiabilidade dos relatórios financeiros para empresas de capital aberto nos EUA. A Seção 404 exige que a administração avalie e relate anualmente a eficácia dos controles internos sobre os relatórios financeiros. A conformidade com a SOX visa prevenir fraudes contábeis e proteger os acionistas.
Outras estruturas
Padrões adicionais de segurança cibernética incluem:
- NY-DFS Parte 500: Um regulamento do Departamento de Serviços Financeiros do Estado de Nova York (NYDFS) que estabelece requisitos de segurança cibernética para instituições financeiras e empresas de serviços em Nova York. Implementado em março de 2017, visa proteger as informações dos clientes e os sistemas informáticos contra ameaças cibernéticas, obrigando as entidades abrangidas a avaliar o seu risco de segurança cibernética e a implementar um plano para mitigar esses riscos.
- PCI-DSS 4.0: O Padrão de segurança de dados do setor de cartões de pagamento versão 4.0 é a atualização mais recente dos padrões de segurança para organizações que lidam com cartões de crédito de marca. Ele se concentra na proteção dos dados dos titulares do cartão e na garantia de ambientes de pagamento seguros, enfatizando o monitoramento contínuo e a adaptação a novas ameaças.
- Diretiva NIS2: Uma proposta de regulamento da UE para substituir a Diretiva NIS existente, com o objetivo de aumentar os requisitos de segurança para serviços digitais, expandir setores críticos e impor medidas de supervisão mais rigorosas e partilha de informações entre os estados membros da UE.
- Lei de Resiliência Operacional Digital: Parte da estratégia da UE para reforçar a segurança cibernética no setor financeiro, garantindo que todos os participantes tenham salvaguardas em vigor para mitigar ataques cibernéticos e outros riscos.
- Cibersegurança MAS: A estrutura de segurança cibernética da Autoridade Monetária de Singapura descreve diretrizes para instituições financeiras em Singapura, enfatizando medidas de segurança robustas, avaliações de risco e governança de segurança cibernética.
- Oito essenciais: Estratégias de segurança cibernética recomendadas pelo Centro Australiano de Segurança Cibernética, fornecendo estratégias básicas de defesa cibernética para organizações. Inclui estratégias como controle de aplicativos, aplicativos de patch e Autenticação multifatorial.
- Estrutura de Segurança de Telecomunicações do Reino Unido: Define requisitos de segurança reforçados para os fornecedores de telecomunicações do Reino Unido, a fim de reforçar a segurança e a resiliência das redes e serviços públicos de telecomunicações contra perturbações e ameaças cibernéticas.
- Código de práticas de segurança cibernética para infraestrutura de informações críticas 2.0: Projetado para proteger infraestruturas críticas de informações em vários setores, descrevendo as melhores práticas e padrões para proteger ativos digitais contra ameaças cibernéticas.
- Reino Unido Cyber Essentials e Cyber Essentials Plus: Esquemas apoiados pelo governo do Reino Unido para ajudar as organizações a protegerem-se contra ataques cibernéticos comuns. O Cyber Essentials concentra-se em controles básicos de higiene cibernética, enquanto o Cyber Essentials Plus envolve maior garantia por meio de testes independentes de medidas de segurança cibernética.
Manter-se atualizado com os padrões de conformidade relevantes para o setor e a geografia de uma organização é crucial para os profissionais de segurança cibernética compreenderem. As violações de conformidade podem levar a penalidades legais, perdas financeiras e danos à reputação de uma organização. Construir proativamente um programa de conformidade e validar a conformidade por meio de auditorias e avaliações é fundamental para mitigar esses riscos.
Responsabilidades em conformidade com segurança cibernética
A conformidade ajuda a reduzir riscos, impor padrões de segurança e garantir a confidencialidade, integridade e disponibilidade de dados e sistemas de TI. As principais responsabilidades na conformidade de segurança cibernética incluem:
- Realização de avaliações de risco para identificar vulnerabilidades, ameaças e seus potenciais impactos. As avaliações de risco examinam os dados confidenciais, os sistemas críticos e os controles de segurança de uma organização para determinar a probabilidade e a gravidade das ameaças cibernéticas. Os resultados são usados para priorizar riscos e implementar salvaguardas apropriadas.
- Desenvolver e aplicar políticas, padrões, procedimentos e controles de segurança. Essas estruturas de segurança cibernética estabelecem regras em torno da proteção de dados, gerenciamento de acesso, monitoramento de segurança, resposta a incidentes e outras áreas. Eles devem estar alinhados com as obrigações legais, regulatórias e contratuais. A revisão e atualização contínua de políticas e procedimentos são necessárias para levar em conta as mudanças na tecnologia, nas regulamentações, nas operações comerciais e no cenário de ameaças.
- Monitoramento de redes, sistemas e atividades de usuários em busca de eventos de segurança e violações de conformidade. O monitoramento contínuo ajuda a detectar rapidamente comprometimentos, violações de dados, acesso não autorizado, infecções por malware e outros problemas. Requer o uso de ferramentas de análise de log, soluções de gerenciamento de eventos e informações de segurança (SIEM), sistemas de prevenção de perda de dados (DLP) e outras tecnologias para coletar, analisar e alertar sobre dados de segurança.
- Respondendo a incidentes de segurança, como violações de dados, ransomware infecções, ameaças internas e ameaças persistentes avançadas (APTs) para minimizar danos e restaurar operações normais. Os planos de resposta a incidentes detalham as etapas para detectar, conter, erradicar e se recuperar de ataques cibernéticos. Eles especificam funções e responsabilidades, protocolos de comunicação e procedimentos para análise forense, avaliação de danos e remediação.
- Fornecer conscientização e treinamento regulares sobre segurança cibernética para os funcionários. Educar os usuários finais sobre políticas de segurança, práticas de computação seguras e as ameaças cibernéticas mais recentes é essencial para a conformidade. Os programas de sensibilização para a segurança visam alterar comportamentos de risco e tornar os indivíduos vigilantes e responsáveis na proteção dos dados e sistemas da organização.
- Realização de auditorias para avaliar a conformidade com os padrões de segurança cibernética e identificar áreas de melhoria. As auditorias internas e externas são realizadas para examinar os controles de segurança, revisar políticas e procedimentos, verificar vulnerabilidades e garantir a conformidade legal e regulatória. As auditorias resultam em relatórios com recomendações para remediar eventuais lacunas e fortalecer a postura geral de segurança.
Passos para alcançar a conformidade
Alcançar a conformidade em segurança cibernética requer planejamento e diligência. As organizações devem adotar uma abordagem sistemática para estabelecer e manter um programa de conformidade. As etapas a seguir fornecem uma visão geral de como alcançar a conformidade:
Desenvolva uma política de conformidade
O primeiro passo é estabelecer uma política oficial que descreva o compromisso da organização com a conformidade com a segurança cibernética. Esta política deve definir o escopo das atividades de conformidade, atribuir responsabilidades e obter aprovação executiva. Com a adesão da liderança estabelecida, as organizações podem avançar para a avaliação das suas obrigações de conformidade.
Identifique os regulamentos aplicáveis
As organizações devem determinar quais regulamentações do setor se aplicam às suas operações. Os regulamentos comuns incluem HIPAA para cuidados de saúde, GDPR para privacidade de dados e PCI DSS para segurança de pagamento. As organizações devem revisar regularmente os regulamentos novos e atualizados para garantir a conformidade contínua.
Realize uma avaliação de risco
Uma avaliação de risco identifica riscos e vulnerabilidades cibernéticas que podem afetar a conformidade. Fornece a base para um programa de conformidade, revelando onde os controles precisam ser implementados. Avaliações de risco devem ser realizadas periodicamente para levar em conta mudanças na infraestrutura tecnológica e nos requisitos de conformidade.
Implementar controles e procedimentos
Com os riscos identificados, as organizações podem implementar controlos apropriados e atualizar procedimentos para proteger sistemas e dados, cumprindo os principais mandatos de conformidade. Os controles padrão incluem gerenciamento de acesso, criptografia, monitoramento e treinamento de conscientização em segurança. Os procedimentos devem ser minuciosamente documentados, com registros mantidos para demonstrar conformidade.
Monitore e audite a conformidade
Monitoramento e auditoria regulares são necessários para manter a conformidade contínua. As ferramentas de monitoramento podem rastrear controles, detectar violações e gerar relatórios. Devem ser realizadas auditorias internas e externas, com resultados analisados para identificar e remediar lacunas. A conformidade é um processo contínuo que requer melhoria contínua.
Treinar funcionários
As pessoas desempenham um papel fundamental na conformidade, por isso é fundamental a conscientização contínua sobre segurança e o treinamento de conformidade para todos os funcionários. Deve ser exigido treinamento, com conclusão monitorada para garantir que todo o pessoal entenda suas responsabilidades. Os fundamentos de conformidade e quaisquer alterações recentes nas regulamentações ou controles devem ser abordados.
Conclusão
Garantir a conformidade com os padrões e regulamentos de segurança cibernética é uma responsabilidade crucial para as organizações hoje. À medida que as ameaças cibernéticas se tornam cada vez mais sofisticadas, governos e grupos industriais estabeleceram diretrizes para ajudar a proteger dados sensíveis e infraestruturas críticas.
A conformidade pode exigir avaliações contínuas, auditorias, treinamento e adaptação a novas leis e padrões. Embora a conformidade não seja necessariamente sinônimo de segurança, seguir as orientações e estruturas regulatórias ajuda a estabelecer uma postura de segurança robusta, cria confiança com clientes e parceiros e evita possíveis consequências legais da não conformidade.