Compliance como subproduto de um programa de segurança robusto

“Um programa de segurança eficaz deve ser construído a partir do zero e basear-se nas necessidades específicas de uma organização”

As organizações estão bem cientes dos riscos de segurança inerentes ao nosso mundo hiper conectado. No entanto, muitos estão cometendo o erro de concentrar sua atenção em compliance, em vez de garantir que sua estratégia de segurança seja eficaz e eficiente. À medida que o cenário de ameaças continua a evoluir, esse tipo de mentalidade de caixa de seleção orientada pela conformidade está preparando muitas organizações para uma queda potencialmente desastrosa (ou violação).

Estar em conformidade não garante que uma empresa tenha uma estratégia de segurança abrangente, pois essas são basicamente duas disciplinas fundamentalmente diferentes. O objetivo é atender aos requisitos estáticos impostos externamente, o que muitas vezes não inclui boa postura de segurança.

Compliance é uma função de relatório e priorizá-la às custas da segurança pode expor a organização a um crescente número de ameaças.

Apesar disso, várias empresas concentram a Compliance como o condutor por trás das decisões de aquisição de segurança. Essa abordagem freqüentemente resulta em um kit de ferramentas inadequado que é de natureza tática, em vez de parte de uma estratégia de segurança holística. Isso pode deixar as organizações com um vasto mosaico de soluções pontuais que são problemáticas por dois motivos. Primeiro, é incrivelmente fácil que violações ocorram nesse ambiente fragmentado e, duas, essas soluções geralmente geram ineficiências e despesas adicionais.

Muitos auditores e estruturas de Compliance exigem um WAF para proteger sites, mas geralmente as empresas farão o mínimo necessário para obter a marca de seleção. Isso pode resultar em que os WAFs sejam usados ​​apenas no modo de monitoramento ou se limitem a bloquear ataques específicos.

Considerando que os aplicativos da Web ainda são o vetor de ataque dominante, apenas colocar algo que atenda ao padrão mínimo de conformidade não protege de verdade contra esse vetor de ataque. Essas ineficiências surgem não apenas porque é difícil gerenciar a grande variedade de soluções pontuais, mas também porque essas ferramentas geralmente não têm a automação necessária para acompanhar o cenário dinâmico de ameaças.

Também pode ser mais caro, pois as decisões não são tomadas estrategicamente, exigindo mais pessoal e tempo para configurar, gerenciar e manter o conjunto de ferramentas diversificado. Por essas e outras razões, deixar a conformidade determinar os investimentos em segurança é míope.

Compliance deve ser um subproduto de um programa de segurança robusto, não a base do mesmo. As decisões de aquisição devem ser tomadas em resposta ao ambiente de ameaças exclusivo da organização, garantindo que todos os produtos resultantes sejam adaptados para atender às necessidades específicas da empresa.

Como as organizações podem preencher a lacuna de conformidade?

A liderança em segurança pode orientar a gerência sênior de se concentrar exclusivamente na conformidade, instruindo-a sobre o que deve ser feito para proteger contra as ameaças cibernéticas avançadas de hoje. Para que as organizações mudem de mentalidade, é necessário que os CISOs demonstrem como as soluções de focadas exclusivamente em Compliance podem deixar diferentes partes da organização expostas.

Ao mover o debate de um aspecto técnico para outro, delineando o impacto nos negócios, os líderes de segurança podem ajudar a orientar decisões que dão suporte a um programa de segurança proativo que reduz os riscos. Uma parte essencial dessa mudança é definir as prioridades de segurança da organização. Toda empresa é única e terá um conjunto diferente de vulnerabilidades e apetite por risco.

As organizações devem identificar os componentes mais comumente atacados para seu setor específico, as tecnologias mais vulneráveis ​​em seu portfólio e como podem aumentar a viabilidade de possíveis vetores de ameaça. Nos serviços financeiros, se uma empresa estiver focada na conformidade com a PCI, ela poderá realizar o monitoramento da integridade dos arquivos.  No entanto, de uma perspectiva de segurança, o monitoramento de atividades de arquivos é preferível, pois permite identificar riscos de permissão excessivos.

Ao fazer a coisa certa pela segurança, você pode atingir as metas de Compliance ou mostrar que tem controles de compensação em vigor.

Uma vez definidas as prioridades, um caso de negócio deve ser construído delineando os problemas e as respectivas soluções. Explicar isso em termos do impacto nos negócios e fornecer dados de ROI ajudará a garantir a adesão das partes interessadas. Este é um passo demorado, mas essencial, que garantirá que o orçamento seja investido com sabedoria.

Outro elemento crítico é descrever como uma abordagem orientada  pode afetar o desempenho dos negócios. Por exemplo, uma ferramenta de DLP pode ser necessária para Compliance, mas ela afeta muito os sistemas do usuário, requer suporte técnico significativo e raramente fornece valor real de segurança. A segurança deve ser reconhecida como um risco de negócio crítico pela alta administração e pela diretoria.

Um programa de segurança eficaz deve ser construído a partir do zero e basear-se nas necessidades específicas de uma organização. Essa abordagem facilitará futuras auditorias de Compliance, economizará dinheiro a longo prazo e protegerá os negócios.  As empresas precisam ter uma visão holística da segurança e a abordagem é uma preocupação de toda a organização e não apenas responsabilidade do CISO. Só então, estarão prontas para lidar com o cenário de ameaças em constante evolução.

FONTE:

Avalie este artigo: 1 Estrela2 Estrelas3 Estrelas4 Estrelas5 Estrelas 7 

Você pode gostar...

X