5 maneiras de lidar com os requisitos de conformidade
Brooke Jackson
Compliance: é complicada, cara... e inquestionavelmente fundamental. A prática da compliance refere-se ao cumprimento de leis, políticas e regulamentações que se aplicam à forma como a empresa coleta, compartilha e protege os dados. Estabelecidas por órgãos do governo ou organizações do setor, elas nem sempre têm respaldo na lei, mas a falha em cumpri-las pode acarretar responsabilidade legal. E embora as empresas venham reclamando de "fadiga da compliance" há anos, os requisitos parecem continuar aumentando — em especial o Regulamento Geral de Proteção de Dados da União Europeia, ou GDPR, que entrou em vigor em maio, e a iminente CCPA, ou Lei de Privacidade do Consumidor da Califórnia, que entra em vigor em janeiro de 2020. Não é nada surpreendente, então, que as organizações enfrentem dificuldades. Os avanços são irregulares — e, claro, compliance não é segurança. Seguir as regras não é garantia de segurança, como o ritmo constante das notícias sobre novas violações deixa claro. Enquanto aumenta o debate sobre a fadiga da compliance e o cumprimento dela versus o da segurança, aqui estão cinco passos concretos que você pode dar agora para para manter a conformidade.
Planeje para o escopo adequado
Reservar um tempo para entender quais informações eletrônicas devem ser protegidas e onde são armazenadas, transmitidas ou processadas é fundamental, no entanto, talvez até mais importante que isso seja primeiro determinar se há necessidade de armazenar ou transmitir essas informações. Não transmitir, armazenar ou processar dados confidenciais pode reduzir o escopo da conformidade.
Se não for possível fazer isso, imponha limites relacionados à forma com que os dados são transmitidos, armazenados ou processados, onde podem ser guardados, por quanto tempo e quem pode acessá-los. Depois, então, documente esses limites na política.
Faça um orçamento adequado
Trate as não conformidades como um risco. Quanto poderia custar à sua organização ser considerada não conforme, ou pior ainda, sofrer uma violação devido à não conformidade? A elaboração do orçamento deve levar em consideração as pessoas, os processos e a tecnologia, além do escopo do ambiente. Preste atenção para não haver desvio no escopo. Muitas empresas transferem as funções de riscos e conformidade, tais como a segurança física, de rede e a segurança da hospedagem para provedores de serviços de segurança gerenciados ou MSSPs.
Conhecido como um modelo de responsabilidade compartilhada, transferir o risco pode ajudar a maximizar os gastos com conformidade em tarefas que apresentam melhor resultado em grande escala. Usar MSSPs para operacionalizar os orçamentos, em vez de comprar bens fixos e contratar uma equipe de funcionários em tempo integral traz mais benefícios.
Crie uma estratégia de criptografia
"Criptografe os dados confidenciais." É uma afirmação simples. Lógica, direta e que faz sentido. No entanto, da perspectiva da conformidade, muitas coisas podem dar errado com a criptografia. Por isso é importante ter uma estratégia relacionada à criptografia de dados confidenciais, com cenários que incluem transmissão de dados, dados armazenados e dados em uso (e não se esqueça dos backups!).
Cada cenário terá, provavelmente, várias opções, cada uma com as suas próprias considerações relativas à segurança e à conformidade. Elas incluem (entre outras): procedimentos de gerenciamento de chaves, cifras, força das chaves, algoritmos de criptografia, protocolos, níveis FIPS-140-2e mais.
Adote a conformidade contínua
Como fica dolorosamente claro a cada novo regulamento, conformidade hoje não significa conformidade amanhã. Manter-se atualizado é um esforço ativo que requer monitoramento e revisão continuada. Identificar e priorizar os riscos por meio de avaliações regulares é uma função essencial para apoiar os esforços relativos à conformidade. Isso pode ocorrer na forma de varreduras de vulnerabilidade, monitoramento de configurações, avaliações de risco e testes de penetração. A conformidade deve ser avaliada de forma contínua para garantir que os controles estejam funcionando e que sejam eficazes não somente no dia da auditoria.
Priorize a criação de uma cultura de segurança
Para construir uma cultura de segurança é necessário que todas as pessoas entendam que a segurança é responsabilidade de todos. Disponibilizar um programa envolvente de conscientização sobre segurança é uma necessidade absoluta. Aumente a conscientização dos seus funcionários oferecendo treinamento e educação relevantes e adequados sobre o papel deles na manutenção da segurança da organização, da alta gerência aos funcionários extremamente técnicos. É necessário fazer isso com maior frequência do que uma vez ao ano. Com o perímetro sempre decrescendo, uma cultura de segurança deve estender-se para além das quatro paredes da organização. A conscientização sobre a segurança deve estender-se para onde quer que os seus funcionários trabalharem, bem como para os seus hábitos pessoais on-line. Essas cinco dicas não vão resolver todos os desafios de compliance da sua empresa, mas são ótimos pontos de partida. E, se estiver buscando um parceiro estratégico para entender a posição da sua empresa no que diz respeito a padrões de compliance específicos, incluindo NIST (DFARS), NIST (FISMA), FedRAMP, HIPAA/HITECH, ISO, PCI, SOC2 e outros, considere a Rackspace:
Recent Posts
Destaques da palestra do Dr. Werner Vogels: Gerir a Complexidade com Simplicidade
Dezembro 6th, 2024
O poder das parcerias: Palestra do parceiro AWS re:Invent 2024 da Dra. Ruba Borno
Dezembro 5th, 2024
Principais destaques do AWS re: Invent 2024: A visão do Dr. Swami Sivasubramanian para a IA de geração
Dezembro 5th, 2024
Principais destaques do AWS re:Invent 2024: Keynote do CEO com Matt Garman
Dezembro 4th, 2024
Destaques da apresentação do AWS re:Invent 2024 com Peter DeSantis
Dezembro 4th, 2024