Segurança ou conformidade? Uma decisão que não deve ser tomada

Segurança ou conformidade? Uma decisão que não deve ser tomada. A diferença entre segurança e conformidade é mais do que apenas processo. É filosofia e prática.

Segurança e conformidade são frequentemente ditas como se fossem dois lados da mesma moeda, dois membros da mesma equipe ou dois grandes gostos que combinam muito bem.

Por mais que eu gostaria de ver auditores e desenvolvedores (ou analistas de segurança) vivendo em harmonia como um delicioso copo de leite muitas vezes o leite e o café ficam sozinhos em suas próprias prateleiras separadas.

Joan Pepin, CISO and VP of Operations da Auth0, nos lembra em artigo da HelpNetSecurity que “conformidade pode ser uma execução tática de uma grande estratégia de segurança ou, potencialmente, um grande esforço burocrático de preenchimento de check lists. Embora a segurança e a conformidade compartilhem metas semelhantes, a TI muitas vezes atende aos requisitos específicos de conformidade do sistema, mas não atende às necessidades de segurança subjacentes de toda a organização.

Muitas vezes avaliando sistemas que não estão de acordo com padrões requeridos, analista de segurança poderão chegar à conclusão que Não, mas está completamente seguro!“.

Do ponto de vista do auditor a “segurança é bem projetada e implementada, não é o mesmo que compatível ou em conformidade”. No exemplo do café com leite, podemos ter o leite, mas não o café.

O inverso também é possível. Pode-se encontrar sistemas que preenchem perfeitamente a carta de conformidade, mas não atendem os critérios de segurança necessários para enfrentar as diversas ameaças existentes.

Segundo a Cybrary, “os hackers concentraram-se em superar nossos controles de segurança, enquanto as equipes de segurança e conformidade mediam nossa segurança em termos de adesão à certificação formal de conformidade.”. Esta foi a análise surpresa do sucesso de um ataque global de ransomware junto a profissionais de segurança e compliance de empresas da lista Fortune 500.

Target, SecurePay, Sally Beauty, FedEx, Staples, Dairy Queen, KMart e muitas outras empresas que possuem certificações de conformidade com um padrão de segurança, ainda sofreram violações, têm equipes profissionais 24×7 focadas em manter sua segurança e conformidade. 

A certificação exige que as equipes de segurança e conformidade de todas as empresas gerenciem constantemente todas as atividades de segurança exigidas pelos diversos padrões existentes, além de manter as evidências de adesão a esses controles para os auditores de segurança. No entanto, violações semelhantes ao de ransomware ocorrem todos os dias, apesar das certificações em papel, confirmando a existência de controles de segurança adequados.

Algumas empresas Compliant, mas violadas, como a Target, iniciaram uma ação legal contra os especialistas em segurança e os auditores que alistaram para auxiliar na obtenção das certificações de conformidade com o Payment Card Industry Data Security Standard (PCI DSS). O custo desta certificação de conformidade geralmente varia de algumas centenas de milhares de Reais em serviços de auditoria a alguns milhões de Reais em mudanças necessárias para obter o status de conformidade.

Estamos todos familiarizados com a “verificação de check lists“, enquanto falhamos ao obter o valor pretendido de um controle específico. Se ilustrássemos essa triste situação com um diagrama de Venn (para lembrar os tempos de colégio), teríamos dois círculos se tangenciando em um dos pontos. No entanto, uma situação melhor seria uma sobreposição maior, à medida que a segurança e a conformidade se alinhassem para atingir suas metas compartilhadas. 

Isso leva à desconfortável questão sobre o investimento de milhões de Reais em conformidade com os padrões de segurança: “O enorme custo e a dor das mudanças exigidas pela certificação de conformidade valem o esforço se a certificação não fornecer o resultado desejado e um nível de conforto de segurança para a empresa? “ e, por consequência a pergunta:o que fazer para se tornar seguro e compatível?”

Para responder a essa pergunta, é necessário analisar a relação entre conformidade e segurança, para que as partes interessadas possam evitar expectativas irreais e obter o benefício máximo da sinergia entre as duas estratégias.

A diferença entre conformidade e segurança

Conformidade não é igual a segurança, nem são a mesma coisa.  

  • A conformidade é uma foto instantânea de tamanho único, que demonstra que você atende aos requisitos mínimos relacionados à segurança de padrões regulatórios específicos, como PCI, SOX, GDPR/LGPD, ou BACEN 4658/3909.  
  • Segurança é todo um sistema exclusivo de políticas, processos e controles técnicos que definem como sua organização armazena, processa, consome e distribui dados para que eles sejam protegidos de forma efetiva e verificável contra ameaças cibernéticas. 

Uma diferença fundamental entre conformidade e segurança é que os requisitos de conformidade mudam lenta e previsivelmente, enquanto o cenário de segurança/ameaça está em um estado perpétuo de mudança. Isso geralmente significa que a conformidade está alguns passos atrás das ameaças atuais, sendo reacionárias e não preventivas.

A conformidade, portanto, é um ato, enquanto a segurança é um substantivo – o objetivo. A relação entre a ação e o objetivo pode levar a quatro combinações possíveis de relacionamentos e status para as organizações:

  • Não conforme com nenhum padrão e Não seguro
  • Seguro de forma limitada, mas não conforme com qualquer padrão
  • Conforme com padrões, mas inseguro na realidade
  • Seguro e Conforme
Não conforme com nenhum padrão e Não seguro

O cumprimento de um padrão de segurança é, às vezes, um esforço voluntário dos executivos para demonstrar a devida diligência necessária no gerenciamento dos processos de segurança de uma empresa. Alguns padrões de conformidade de segurança são obrigatórios e dependem dos processos de negócios e do perfil da entidade. A conformidade de segurança, no entanto, não é obrigatória para todas as organizações e os executivos das organizações costumam se aproveitar deste fator para não investirem sem segurança, ficando assim em uma situação de Não conforme (devido a não obrigatoriedade) e Não seguro (devido à falta de investimento em segurança)

Seguro de forma limitada, mas não conforme com qualquer padrão

Imaginemos que uma empresa tenha os firewalls mais modernos, no entanto sabemos que a nova tecnologia mais moderna de firewalls não garante conformidade ou segurança. Os executivos não sentem necessidade de outros investimentos porque os firewalls foram instalados e a os executivos consideraram a organização protegida contra acessos externos e violações causadas por hackers externos. Os executivos não sentiram a necessidade de aceitar o desafio de se tornarem conformes com os padrões de segurança, pois sentiam que os firewalls eram os muros da fortaleza e a resposta a todos os requisitos de segurança. Portanto, eles ficarão surpresos quando sua organização perder dados devido a malwares que infectaram seus sistemas através do acesso de um fornecedor terceirizado que teve acesso à sua rede.

Conforme com padrões, mas inseguro na realidade

Em um exemplo vamos usar a conformidade com o PCI DSS que exige que dispositivos de pontos-de-venda sensíveis (POS) foram protegidos por travas e monitorados por câmeras conforme necessário, portanto a organização proprietária dos dispositivos POS, atendeu às condições de certificação de conformidade.

No entanto, apesar desses controles de segurança, houve uma violação. As travas eram de qualidade inferior e eram facilmente abertas, e a resolução da câmera era tão ruim que não registrava nada no escuro, permitindo a manipulação dos dispositivos POS, levando à perda de dados. Uma hipótese é que o departamento financeiro da organização negou o pedido de fechaduras e câmeras superiores devido a questões orçamentárias.

Seguro e Conforme

Este é o cenário ideal! Este é o objetivo final dos esforços de segurança cibernética e, no entanto, é difícil de alcançar. Este cenário ideal é devido ao um equilíbrio perfeito entre conformidade e status de segurança, através da sinergia dessas duas forças e estratégias. Portanto, a solução é usar a conformidade como um trampolim para finalmente alcançar um status seguro mais maduro do ambiente corporativo.

Para estar seguro e em conformidade, você usar uma abordagem holística da ISO ou de um Information Security Management System (ISMS) que vincule seus controles a uma estrutura abrangente. Os padrões regulatórios não podem fornecer essa estrutura por si só, não importa o quão prescritivos eles sejam, mas uma visão holística com a citada pode fornecer uma estrutura robusta suficiente para proteger a empresa e mitigar os riscos das ameaças cibernéticas.

Se a empresa está enfrentando desafios de conformidade, fazer com que esses problemas desapareçam da maneira mais rápida e barata possível e “se preocupar com segurança mais tarde” pode parecer o movimento certo, mas colocar a conformidade antes da segurança coloca o carroça antes do cavalo. A conformidade robusta, econômica e simplificada é uma consequência direta de uma estratégia de segurança eficaz – não sua base.

Como chegar lá?

Primeiro, dê um passo atrás!

O trabalho moderno de TI parece que se move tão rápido que está sempre mudando. Mas aqui está a coisa: não é. O desafio é que a segurança cibernética está se tornando mais complexa, mas os fundamentos de nosso trabalho – confidencialidade e integridade de dados – na verdade permanecem constantes.

Segundo Joan Pepin, a sugestão é que em vez de se concentrar na rapidez com que você deve se mover para implementar uma nova plataforma, sistema ou aplicativo de maneira compatível com as regulamentações e os requisitos de segurança, pergunte-se o que a implementação realmente está tentando resolver. “Quem será afetado e como seus fluxos de trabalho serão alterados quando a pilha for alterada?

Você também deve se perguntar quais riscos de segurança podem surgir com o novo sistema em vigor – que pode ser o risco de violação de dados devido a um determinado tipo de ameaça, uma vulnerabilidade conhecida no novo sistema ou aplicativo,  ou o risco de uso incorreto do usuário devido à falta de controles de acesso, a força de autenticação ou uma série de outras considerações de segurança. Você pode descobrir riscos de segurança que não são específicos da nova tecnologia, mas que foram expostos por uma nova aparência em um sistema existente.

Quando a segurança da informação é o seu objetivo, cada controle a implementar, cada padrão em que for certificado e cada auditoria que sofrer irá comprovadamente aumentar a sua capacidade de proteger os interesses dos seus clientes, parceiros, funcionários e acionistas.

Atire sempre na direção da segurança e você vai acertar todas as vezes. Atire para a conformidade e você pode pousar longe, longe do estado seguro.

Reconheça a diferença

Para Joan Pepin, segurança e conformidade estão interligadas, mas ainda são disciplinas separadas. Uma boa estratégia de segurança inclui conformidade, mas tecnicamente é possível praticar a conformidade sem priorizar a segurança.

Usando o exemplo de Joan, um avaliador residencial olha para uma casa que está à venda com uma lista de coisas que podem estar quebradas ou abaixo do padrão – a condição do telhado, a idade do sistema de aquecimento, o estado da fundação, a idade dos extintores de incêndio. Esse avaliador faria uma lista de anotações para determinar o valor e a viabilidade da venda da casa.

Mas o avaliador não entra na casa pensando se a entrada da garagem está em um ângulo adequado para que o veículo entre raspar e estragar o fundo. Eles não considerariam se crianças brincando na rua, o que pode ser um sinal de um bairro familiar e considerado seguro para crianças pequenas. Eles não testariam o tempo de resposta de uma empresa de monitoração se um sistema de alarme fosse acionado.

Da mesma forma, a conformidade pode mostrar que você atendeu a determinados padrões, mas não ajuda a entender a segurança de todo o sistema no qual sua empresa está operando.

Identifique os pontos de vulnerabilidade e os requisitos de conformidade

Às vezes, pegar uma folha de papel em branco e rabiscar como a sua arquitetura está montada, ajuda a entender onde estão os pontos fracos, os riscos e as vulnerabilidade que devem ser endereçadas. 

A partir daí faça uma lista dos trabalhos e processos que a empresa possui e identifique os pontos nos quais o risco é introduzido nos fluxos de trabalho.

Depois de ter seu mapa de riscos, faça sua lista de verificação de conformidade para que os sistemas, aplicativos ou outras tecnologias devem atender, com base nos processos de negócios e necessidades operacionais existentes. 

Agora, bloqueie sua estratégia no lugar

Já vimos que conformidade e a segurança andam de mãos dadas, mas não são iguais. A conformidade não deve definir a segurança, porque a segurança vai muito além da conformidade. Você precisa de uma estratégia que englobe ambos.

A visão holística comentada anteriormente ajuda a definir a sua estratégia governar, na verdade é crucial para uma boa estratégia. Essa perspectiva irá ajudar no desenvolvimento de uma estratégia sólida.

Ao mesmo tempo, é importante lembrar que os insights de outros profissionais e das partes envolvidas irão auxiliar muito na definição do caminho a ser seguido. Por isto, quando mapear os riscos, é importante obter informações para projetar a segurança que irá atender da melhor forma o ambiente da empresa. 

Finalmente, posicione a conformidade como um resultado natural da estratégia de segurança, não o driver para ela. Para algumas empresas, isso significa mudar percepções em toda a organização de TI ou mesmo usar de forma inteligente o fator de conformidade para sensibilizar os executivos da necessidade de investimentos.

Lembre-se de que, como líder de segurança, você é responsável por manter a organização segura, mas você também é responsável por fazê-lo de forma inteligente.

De forma geral:

  • Consiga um consenso em nível de diretoria para adotar e implementar um padrão de conformidade de segurança que atenda às necessidades e ao perfil da organização.
  • Realize uma autoavaliação do status quo da organização ou uma avaliação de terceiros para identificar lacunas de conformidade.
  • Envolva todos os principais interessados ​​na segurança de dados para revisar as lacunas e compreender as descobertas das lacunas.
  • Crie um roteiro com base na correção das lacunas.
  • Faça a ponte entre o status de conformidade e o status quo usando o roteiro de correção de lacunas.

Conclusão

Segurança ou conformidade? É uma decisão que não deve ser tomada, pois não se trata de escolher a Segurança ou a Conformidade, mas sim unir os esforços de forma inteligente, focando em segurança e obtendo conformidade como resultado de uma segurança bem implementada.

As violações do tipo ransomware que afetaram grande organizações que tinham certificações de conformidade com os padrões de segurança tornaram relevante a revisão do relacionamento entre a certificação formal de segurança e o status atual de segurança das organizações.

É claro que uma certificação formal de conformidade com qualquer padrão não é necessariamente igual a uma postura geral de segurança madura e vice-versa. No entanto, o poder de ambas as estratégias pode ser aproveitado usando estruturas de conformidade formal e certificação como um marco no roteiro estratégico para uma postura de segurança aprimorada no nível corporativo.

Em vez de pensar em termos de segurança versus conformidade, a melhor opção é obter segurança por meio de conformidade.

Todo especialista de segurança sabe que uma violação de dados em uma organização em conformidade com as normas, significa que a maioria dos defensores da conformidade se envolveu em uma falsa sensação de segurança, concentrando-se apenas no espírito do padrão de conformidade.

As organizações confundiram o caminho para a conformidade com o objetivo final, que é ter uma postura de segurança mais madura.

Para atingir o nível desejado de postura de segurança, uma organização pode primeiro atender a carta de certificação de conformidade, que é mais fácil de satisfazer (mas sem atropelar nas decisões ou passar por cima da qualidade) e seguir em frente para satisfazer o espírito e a intenção do padrão de conformidade, concentrando-se em KPIs relacionados aos processos de segurança definidos nos padrões de segurança e abrangendo todos os processos, tecnologias e recursos humanos relevantes.

Por: Kleber Melo - Sócio Diretor da MindSec & Diretor do Minuto da Segurança & COO CYB3R 
Fonte: HelpNetSecurity & Tripwire & Armor & PivotPointSecurity & Cybrary

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Segurança ou conformidade? Uma decisão que não deve ser tomada – Neotel Segurança Digital
  2. Segurança ou conformidade? Uma decisão que não deve ser tomada – Information Security
  3. Microsoft Office 365 Webmail expõe o endereço IP do usuário em emails
  4. A #LGPD e o mito do advogado que entende de Dados
  5. Microsoft lança patch para vulnerabilidade similar ao Spectre e Meltdown

Deixe sua opinião!