Uma pesquisa recente com 1.100 executivos corporativos em todo o mundo descobriu que 64% deles consideram a conformidade uma “muito” ou “extremamente” estratégia eficaz na prevenção de violações de dados.1 Essa pesquisa é preocupante, especialmente porque muitas das maiores e mais recentes violações de dados afetaram organizações que se declararam em conformidade com as estruturas regulatórias obrigatórias apropriadas para seu setor.
Embora existam muitos termos e frases que se tornaram usados em demasia no setor de segurança e risco da informação, este é verdadeiro: Compliance não é segurança.
Os líderes organizacionais devem reconhecer a menor importância das estruturas de conformidade e a maior importância de proteger dados críticos para os negócios:
Para estabelecer uma linha de base para discussão, deve-se entender que a conformidade é um modelo de árvore de decisão ou/ou, aprovado/reprovado, sim/não. O modelo de conformidade não é muito bom para qualificar a eficácia.
Vamos fazer um exercício:
Este exercício ilustra como o modelo de conformidade fica aquém da eficácia de qualificação. Vamos olhar um pouco mais fundo:
Certifique-se de estar fazendo as perguntas certas. Clique aqui para descobrir.
Em alto nível, um dos problemas óbvios com estruturas de compliance estáticas é que elas são usadas para medir um abstrato subjetivo. Compreender a segurança objetiva pontual (“quão seguro você realmente está”) não é uma tarefa fácil e beira a ser uma arte de cálculo e análise de risco, em vez de um conjunto de habilidades. Mas respondendo à pergunta, “quão seguro você se sente?” é completamente subjetivo; em relação à segurança, todos “sentem” diferentes com base em suas próprias experiências e status quo. Chris Nickerson, da Lares Consulting, aborda isso em sua excelente palestra TEDx: Os hackers são curiosos e a segurança é apenas um sentimento.2
Onde as coisas normalmente ficam complicadas com conformidade versus segurança é o “seguro” sentimento que geralmente se desfruta ao passar em uma avaliação de conformidade - aquela estrutura estática Sim/Não sendo usada para medir a segurança objetiva sem dados quantitativos ou qualitativos e/ou análises. As notas de aprovação tendem a dar ao sentimento de maior segurança, mesmo que a ameaça provavelmente permaneça inalterada e os riscos para os negócios ainda existam. Aqui está um exemplo do mundo real de como sentimentos pode não espelhar a realidade: a cobertura jornalística contínua de ameaças globais de hoje promove sentimentos de segurança pessoal reduzida. No entanto, a ameaça real para um indivíduo é excepcionalmente baixa. Reconhecer a diferença entre sentindo-se seguro, e sendo seguro é crítico na discussão de segurança da informação.
No final, o adversário avançado que é incentivado a tentar roubar seus dados críticos de negócios se importa muito pouco com sua estrutura ou auditoria de conformidade bem-sucedida. Para a concorrência, seus dados são apenas uma série de 1s e 0s, em trânsito ou em repouso. Ao examinar os auditores de conformidade, certifique-se de que eles estejam familiarizados com a estrutura de conformidade específica do seu setor. No entanto, ao examinar fornecedores de ataque de equipe vermelha e roxa, certifique-se de que eles sejam especialistas em simular o roubo desses 1s e 0s. Seu adversário não se importa com sua estrutura de conformidade. Nem o seu fornecedor de teste de caneta.
Com isso dito, o “ Compliance não é Segurança” ponto de vista tende a se inclinar para uma direção inclinada com os profissionais de Segurança da Informação e Risco, muitos dos quais têm a mentalidade de que as estruturas de conformidade devem ser desvalorizadas, no mínimo, ou descartadas ao extremo. A realidade hoje é que as estruturas de conformidade (obrigatórias ou não), embora sejam falhas e talvez enfatizadas demais em relevância, ainda são um aspecto importante para:
Uma estrutura de arquitetura de Enterprise Security que se concentra na proteção de dados críticos para os negócios e evolui com seus negócios deve atuar como a âncora para seus requisitos de conformidade. Para conformidade, cada uma das perguntas estáticas de sim/não mapeia diretamente para a iniciativa de segurança mais ampla que dá suporte aos negócios.
Compliance não significa Segurança, mas Segurança inclui Compliance.
Clique aqui para obter mais informações sobre as soluções de segurança e risco da Black Box .