Seus dados críticos de negócios estão seguros?

Uma estrutura de arquitetura de Enterprise Security que se concentra na proteção de dados críticos para os negócios e evolui com seus negócios deve atuar como a âncora para seus requisitos de conformidade. Para conformidade, cada uma das perguntas estáticas de sim/não mapeia diretamente para a iniciativa de segurança mais ampla que dá suporte aos negócios. Compliance não significa Segurança, mas Segurança inclui Compliance.

  1. Home
  2. Insights
  3. Blogues
  4. Detalhe
Back
Seus dados críticos de negócios estão seguros?

Você pode se surpreender

Uma pesquisa recente com 1.100 executivos corporativos em todo o mundo descobriu que 64% deles consideram a conformidade uma “muito” ou “extremamente” estratégia eficaz na prevenção de violações de dados.1 Essa pesquisa é preocupante, especialmente porque muitas das maiores e mais recentes violações de dados afetaram organizações que se declararam em conformidade com as estruturas regulatórias obrigatórias apropriadas para seu setor.

Embora existam muitos termos e frases que se tornaram usados em demasia no setor de segurança e risco da informação, este é verdadeiro: Compliance não é segurança.

Risco e segurança de TI: enquadrando o problema

Os líderes organizacionais devem reconhecer a menor importância das estruturas de conformidade e a maior importância de proteger dados críticos para os negócios:

  • O que é isso?
  • Onde isso vive?
  • Quem tem acesso a ele?
  • Como sabemos se ocorreram violações?
  • Em caso afirmativo, quais os próximos passos devem ser implementados?
securityblog

Para estabelecer uma linha de base para discussão, deve-se entender que a conformidade é um modelo de árvore de decisão ou/ou, aprovado/reprovado, sim/não. O modelo de conformidade não é muito bom para qualificar a eficácia.

Vamos fazer um exercício:

  • Você tem um firewall?
    • Verificar
  • Você tem antivírus?
    • Verificar
  • Você aplica senhas complexas?
    • Verificar
  • Algum desses controles de infraestrutura, ou mesmo todos, impediria que um adversário avançado roubasse seus dados críticos para os negócios?
    • Não
  • Esses controles de infraestrutura impediriam que um adversário usasse sua propriedade intelectual para gerar lucro nos mercados negros da Internet?
    • Não

Este exercício ilustra como o modelo de conformidade fica aquém da eficácia de qualificação. Vamos olhar um pouco mais fundo:

  • Firewall instalado? Seu firewall impede qualquer tráfego desconhecido em sua rede, mas seu diretor de RH acabou de ser enganado para visitar um site que instalou um aplicativo malicioso de acesso remoto em seu laptop. Agora ele está se comunicando com um servidor de comando e controle em algum lugar da Internet porque seu firewall também está configurado para acesso OUTBOUND irrestrito para seus usuários.
  • Antivírus instalado? Todos os dias, mais malwares são descobertos que infectam hosts e se injetam na memória. O malware ignora a maioria (se não todos) os produtos antivírus, não contando com a execução de binários do disco para o ponto de infecção inicial.
  • Política de senha que aplica senhas complexas? Um adversário pode ligar para seus usuários se passando por suporte de TI e pedir educadamente suas senhas. No mínimo, o malware que acabou de se injetar na memória também tem a capacidade de extrair suas senhas complexas dos processos em execução.

Certifique-se de estar fazendo as perguntas certas. Clique aqui para descobrir.

Em alto nível, um dos problemas óbvios com estruturas de compliance estáticas é que elas são usadas para medir um abstrato subjetivo. Compreender a segurança objetiva pontual (“quão seguro você realmente está”) não é uma tarefa fácil e beira a ser uma arte de cálculo e análise de risco, em vez de um conjunto de habilidades. Mas respondendo à pergunta, “quão seguro você se sente?” é completamente subjetivo; em relação à segurança, todos “sentem” diferentes com base em suas próprias experiências e status quo. Chris Nickerson, da Lares Consulting, aborda isso em sua excelente palestra TEDx: Os hackers são curiosos e a segurança é apenas um sentimento.2

O custo da complacência

Onde as coisas normalmente ficam complicadas com conformidade versus segurança é o “seguro” sentimento que geralmente se desfruta ao passar em uma avaliação de conformidade - aquela estrutura estática Sim/Não sendo usada para medir a segurança objetiva sem dados quantitativos ou qualitativos e/ou análises. As notas de aprovação tendem a dar ao sentimento de maior segurança, mesmo que a ameaça provavelmente permaneça inalterada e os riscos para os negócios ainda existam. Aqui está um exemplo do mundo real de como sentimentos pode não espelhar a realidade: a cobertura jornalística contínua de ameaças globais de hoje promove sentimentos de segurança pessoal reduzida. No entanto, a ameaça real para um indivíduo é excepcionalmente baixa. Reconhecer a diferença entre sentindo-se seguro, e sendo seguro é crítico na discussão de segurança da informação.

No final, o adversário avançado que é incentivado a tentar roubar seus dados críticos de negócios se importa muito pouco com sua estrutura ou auditoria de conformidade bem-sucedida. Para a concorrência, seus dados são apenas uma série de 1s e 0s, em trânsito ou em repouso. Ao examinar os auditores de conformidade, certifique-se de que eles estejam familiarizados com a estrutura de conformidade específica do seu setor. No entanto, ao examinar fornecedores de ataque de equipe vermelha e roxa, certifique-se de que eles sejam especialistas em simular o roubo desses 1s e 0s. Seu adversário não se importa com sua estrutura de conformidade. Nem o seu fornecedor de teste de caneta.

Com isso dito, o “ Compliance não é Segurança” ponto de vista tende a se inclinar para uma direção inclinada com os profissionais de Segurança da Informação e Risco, muitos dos quais têm a mentalidade de que as estruturas de conformidade devem ser desvalorizadas, no mínimo, ou descartadas ao extremo. A realidade hoje é que as estruturas de conformidade (obrigatórias ou não), embora sejam falhas e talvez enfatizadas demais em relevância, ainda são um aspecto importante para:

      1. arquitetura de Enterprise Security (ESA) de qualquer organização ou
      2. qualquer programa que ajude a alinhar os objetivos de negócios com a proteção de dados críticos para os negócios

Uma estrutura de arquitetura de Enterprise Security que se concentra na proteção de dados críticos para os negócios e evolui com seus negócios deve atuar como a âncora para seus requisitos de conformidade. Para conformidade, cada uma das perguntas estáticas de sim/não mapeia diretamente para a iniciativa de segurança mais ampla que dá suporte aos negócios.

Compliance não significa Segurança, mas Segurança inclui Compliance.

Clique aqui para obter mais informações sobre as soluções de segurança e risco da Black Box .

  1. http://www.cio.com/article/3025452/cyber-attacks-espionage/cybersecurity-much-more-than-a-compliance-exercise.html
  2. https://www.youtube.com/watch?v=HW9hH0vlPEM
Cyber Security GSI Network Security
Inscreva-se agora
The Black Box website uses cookies. By continuing the use of the Black Box website, or by closing the message to the right, you consent to the use of cookies on this website.  Learn more.
X