Conformidade x Segurança: quais são as diferenças?

Os últimos anos foram alguns dos mais reveladores para muitas empresas no que diz respeito às suas necessidades de segurança cibernética. Graças a várias violações de dados de alto nível e hacks, bem como à implementação inicial do GDPR em maio de 2018 , a importância da segurança está agora em primeiro plano.

Quando empresas como Equifax, Cloudflare e Uber enfrentam violações de dados importantes (e públicas), é natural que os líderes de negócios queiram garantir que seu “quintal” de segurança esteja em ordem.

O aumento da conscientização gerou muitas conversas sobre a importância de estar em conformidade com os padrões modernos de privacidade e proteção de dados (como GDPR ou HIPAA). No entanto, estar em conformidade não é necessariamente o mesmo que estar seguro (embora sua segurança fortaleça sua conformidade). Entender as diferenças entre conformidade e segurança cibernética é importante para tomar as decisões corretas com relação às necessidades de segurança de seus negócios.

Adotando uma abordagem de cima para baixo

Na maioria dos casos, a conformidade é motivada por fatores externos, como regulamentos do setor, legislação governamental e outras forças. Estar em conformidade com padrões específicos significa que você atende aos requisitos básicos de segurança, mas a conformidade em si não substitui a segurança cibernética ativa (mais sobre isso a seguir).

Compreender as forças externas que influenciam

O setor de saúde tem padrões específicos sobre como as informações do paciente são tratadas – chamados de Health Insurance Portability and Accountability Act , ou HIPAA – que as empresas desse setor devem aderir. No caso da HIPAA, ela estipula as políticas e salvaguardas técnicas que devem estar em vigor onde quer que os dados do paciente sejam armazenados.

O GDPR é um pouco diferente. Além de colocar ênfase na segurança, ele também aprofunda os direitos de dados do consumidor, propriedade de dados e consentimento. Para que uma empresa seja compatível com o GDPR, não só há requisitos de segurança a serem considerados, mas também processos operacionais e de negócios.

PCI DSS – o padrão de segurança de dados da indústria de cartões de pagamento – é outro exemplo em que estar em conformidade significa fazer investimentos em determinados protocolos de segurança, especialmente em como os dados são armazenados e criptografados. Também determina o tipo de dados que podem ser armazenados / criptografados e o que pode ser feito com eles.

Padrões como os três exemplos acima ajudam a gerar apenas uma linha de base para a segurança.

Conformidade operacional

Para muitas empresas, ser reclamante significa “marcar as caixas certas” e garantir que passem por uma auditoria de segurança. Na verdade, estar em conformidade significa tanto demonstrar conformidade quanto investir nos aspectos técnicos ou orientados ao processo de segurança.

É importante compreender que estar em conformidade não é o mesmo que estar seguro, especialmente porque a conformidade raramente, ou nunca, exige o monitoramento ativo de sua rede e infraestrutura de TI. Ser hackeado e descobrir dias, semanas ou, às vezes, meses depois é o que acontece sem monitoramento ativo. 

A segurança fortalece a conformidade, mas não substitui

Portanto, sabemos que podemos ser compatíveis, mas ainda temos vulnerabilidades de segurança que ameaçam nossos dados. Lidar com essas preocupações é onde sua equipe de segurança entra.

Compreendendo a cibersegurança moderna

A cibersegurança moderna se concentra em três coisas: o usuário, a rede e o monitoramento ativo de ameaças.

O usuário é o ponto de interrupção mais comum. Os malfeitores geralmente obtêm acesso a informações confidenciais simplesmente porque foram capazes de usar a equipe de uma empresa para isso. Isso pode ser feito por meio de manipulação face a face (isso também é comum por telefone), “ hacking visual ” ou o comum e-mail de phishing.

O que quero dizer é que os malfeitores geralmente visam primeiro seu pessoal. É mais fácil receber as chaves do castelo do que ir e forjar as suas.

Por meio de treinamento e modificação de processos, as empresas de segurança cibernética trabalham para proteger o fator “pessoas” em uma combinação de segurança empresarial.

A rede é o lado técnico do seu negócio. Os provedores de segurança usam firewalls, ferramentas de malware / vírus, ferramentas de monitoramento de rede, proteção de endpoint (dispositivos, como laptops e telefones celulares) e outros tipos de hardware e software específicos de rede projetados para proteger sua rede e impedir que usuários não autorizados acessem as informações que eles não deveria. Isso agora, é claro, na maioria das vezes, também terá um elemento de “nuvem”.

O monitoramento ativo de ameaças , mais comumente referido como gerenciamento de eventos e informações de segurança (SIEM) , é a base da cibersegurança moderna. O SIEM fornece monitoramento de rede em tempo real, identificação de ameaças e resposta a ameaças. Quando você investe em segurança ativa, seja por meio de uma equipe interna ou de um provedor de serviços de segurança gerenciados , o SIEM é o principal componente de como eles o mantêm seguro. Tudo isso pode ser realizado com o SIEM e as ferramentas auxiliares corretas para fornecer os logs em primeiro lugar e também fornecer o método de remediação assim que uma ameaça for identificada.

Conformidade x segurança

A melhor maneira de visualizar as diferenças entre conformidade e segurança de TI é pensar em sua empresa como se fosse um prédio.

Estar em conformidade com os padrões relevantes – como HIPAA – significa que você tem portas, janelas e fechaduras que atendem a esses padrões. Isso não significa que essas portas, janelas e fechaduras sejam seguras ou até mesmo usadas ativamente … apenas que você as tem em primeiro lugar.

Investir em segurança é o mesmo que ter alguém garantindo que as portas, janelas e fechaduras estejam sempre devidamente protegidas e não sejam acessadas ou abertas por alguém que não tenha autorização.

Embora você possa ser compatível e ter o cadeado correto, sua equipe de segurança garantirá que o cadeado esteja sempre trancado e seguro.