Conformidade de segurança cibernética: melhores práticas e padrões do setor
A segurança cibernética não é mais uma prerrogativa das agências governamentais e espiões secretos do cinema. Essencialmente, toda empresa que lida com dados de qualquer forma precisa cumprir certos padrões para proteger a si mesma e as entidades com as quais contata da crescente ameaça cibernética.
Além disso, as organizações que fornecem produtos e serviços de segurança cibernética precisam cumprir determinados padrões do setor para construir sua reputação e garantir proteção de alto nível. De fato, o recente relatório da Varonis afirma que, em média, cada funcionário tem acesso a 11 milhões de arquivos. Se os padrões de conformidade não forem atendidos, a empresa estará exposta a um alto risco de violação de dados.
Então, quais são as certificações de segurança cibernética específicas do setor que são as mais exigidas no momento? Abaixo, mencionamos alguns itens obrigatórios, mas a lista continua. Também vale a pena mencionar que, além das certificações cibernéticas como CIS, ISO, SOC2 e NIST, as empresas também precisam de conformidade básica com regulamentos obrigatórios como LGPD para proteção de dados no Brasil e PCI DSS para segurança de cartões de pagamento em todo o mundo.
SOC2
O Service Organization Control (SOC2) é uma estrutura de relatório de segurança cibernética que denota diretrizes para o gerenciamento de dados dos clientes. Lançado em 2011 pelo Instituto Americano de Contadores Públicos Certificados (AICPA), esse framework é baseado em Trust Services Criteria (TSC). Há apenas cinco deles a seguir:
- Segurança
- Disponibilidade
- Integridade do processamento
- Confidencialidade
- Privacidade
Para confirmar a qualidade dos processos de segurança, as empresas que atendem ao padrão SOC2, enviam relatórios periódicos a seus clientes, parceiros, reguladores e fornecedores. Cada organização decide sobre sua própria forma particular de relatório. O princípio principal é que esses relatórios devem capturar um ou mais dos critérios de confiança, descrevendo como eles lidam com a segurança dos dados. No entanto, dois tipos principais de relatórios se aplicam: o relatório Tipo I, que representa os sistemas do fornecedor e seus projetos à luz do TSC, e o relatório Tipo II, que destaca a eficácia operacional. É possível obter a certificação SOC2 através de auditores externos. Eles querem avaliar a conformidade dos sistemas e processos de segurança cibernética da empresa com os cinco TSCs mencionados acima.
A prática mostra que a conformidade é melhor quando se trabalha no mix, como a certificação específica de segurança cibernética mais a conformidade obrigatória. Por exemplo, as regras Sigma na plataforma Detection as Code do SOC Prime incluem o conteúdo de detecção mais recente de mais de 300 pesquisadores para mais de 6.000 empresas em todo o mundo, concluíram o procedimento de auditoria SOC2 Tipo II e estão em conformidade com os padrões GDPR. As empresas que usam os serviços da SOC Prime podem ter certeza de que a privacidade de seus dados atende aos mais altos padrões e que as práticas, políticas, operações e procedimentos de segurança da plataforma atendem aos padrões relevantes para gerenciamento seguro de dados.
Além disso, aproveitando o mecanismo de tradução totalmente anônimo Uncoder.IO do SOC Prime , é fácil traduzir instantaneamente regras Sigma genéricas em uma variedade de formatos SIEM e EDR/XDR e implantá-los no próprio ambiente da organização sem ter que compartilhar os dados internos da organização com prestadores de serviços terceirizados. O Uncoder.IO é baseado em um projeto Sigmac verificado pela comunidade e tem uma classificação geral A+ de acordo com o Qualys SSL Labs.
NIST
O NIST Framework foi desenvolvido originalmente para manter a segurança cibernética da infraestrutura crítica para proteger entidades como usinas de energia e linhas de comunicação. No entanto, é uma boa estrutura para qualquer organização, pois fornece uma estrutura bastante detalhada e abrangente para organizar um centro de operações de segurança.
O documento de diretrizes está escrito em 63 páginas, o que é muito mais fácil do que o NIST 800-53 para agências do Governo Federal dos EUA descrito em 453 páginas. O conceito básico do NIST regular de 41 páginas é fácil de entender. No entanto, não é tão fácil de implementar e pode exigir muito tempo e recursos.
Essencialmente, para cumprir essa estrutura, uma organização precisa manter os padrões de segurança de acordo com os seguintes níveis:
- identificação
- detecção
- proteção
- resposta
- recuperando
O NIST fornece instruções sobre como identificar ativos que precisam de proteção de segurança cibernética, como avaliar riscos e, em seguida, apresentar estratégias adequadas de detecção, resposta e recuperação. Ele fornece um conjunto de instruções altamente precisas que podem ser difíceis de executar, mas, a longo prazo, certamente beneficiarão uma postura de segurança.
ISO 27001 e ISO 27002
A ISO é provavelmente o conjunto de padrões mais respeitável do mundo que as organizações se esforçam para cumprir. A ISO 27001/27002 é responsável pelos controles de segurança cibernética. A estrutura pressupõe que uma empresa crie um departamento chamado Sistema de Gerenciamento de Segurança da Informação (ISMS). Assim, para receber a certificação ISO 27001, a organização tem que manter a operação deste departamento por 3 anos de acordo com os requisitos, tendo uma visão precisa sobre ameaças e vulnerabilidades e gerenciando riscos. Após três verificações anuais por auditores ISO, a empresa pode obter seu certificado. A diferença entre a ISO27001 e a ISO27002 é que a última é um conjunto de recomendações úteis para atender aos requisitos da ISO27001. Uma organização pode obter apenas um certificado para ISO27001, não para ISO27002.
Um dos requisitos obrigatórios para receber a certificação é a realização de um método de gestão empresarial chamado ciclo PDCA.
Há quatro etapas principais que precisam ser tomadas de acordo com este ciclo:
- Planejar — crie um SGSI e estabeleça objetivos, processos, políticas e procedimentos de Segurança da Informação (InfoSec) para gerenciar os riscos.
- Faça — implemente as atividades de InfoSec mencionadas acima.
- Verificar — monitore o desempenho e, em seguida, revise e analise-o.
- Agir — atualizar e melhorar devido aos resultados da análise.
A ISO27001/27002 dá muito trabalho, provavelmente por isso é adotada principalmente por governos e grandes empresas multinacionais. Para certificar a conformidade com as normas, a ISO contrata auditores terceirizados. Assim, a empresa geralmente contata um profissional dedicado de uma firma de auditoria como consultor, auditor e autoridade para aprovar a certificação.
CEI
O Center for Internet Security (CIS) é uma organização sem fins lucrativos que compreende uma comunidade mundial de profissionais voluntários de TI. O CIS Critical Security Controls (CIS Controls) é um conjunto de diretrizes para mitigar os padrões de ataque mais difundidos. A última publicação, Vol. 8, é revisado por especialistas do governo, tecnologia e academia e está focado nos desafios da computação em nuvem, terceirização, virtualização e cultura de trabalho remoto.
Outro conjunto de diretrizes do CIS é chamado de Benchmarks. Baseia-se nos padrões de conformidade mais populares, como NIST e HIPAA. O que é bom sobre o CIS é que eles estão prontos para ajudar empresas de vários setores a começarem com a conformidade de segurança cibernética, mesmo que essas empresas sejam pequenas e precisem começar do zero. Por exemplo, a empresa pode buscar o primeiro nível de Benchmarks, que engloba configurações de segurança essenciais, ou ir para o segundo nível, onde pode ajustar sua operação para cumprir os padrões do setor e ter a chance de receber a certificação.
No geral, a certificação de segurança cibernética não é um caminho fácil, mas aumenta a segurança dos dados da organização de maneira estruturada e bem testada. A conformidade com os padrões deste artigo é útil tanto para empresas de vários setores quanto para empresas de segurança cibernética em primeiro lugar.