Segurança da Informação

Por que a conformidade padrao não é suficiente

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ? 
A crescente conscientização da segurança da informação está afetando todo o cenário de TI hoje.
Até 2020, estima-se que o custo médio das violações de dados será superior a US $ 150 milhões. Devido aos crescentes ataques direcionados às empresas, cada vez mais empresas estão fazendo fila para investir pesadamente em segurança da informação.
Grande parte do impulso por trás desse investimento é a conformidade. Os padrões de segurança implementados em muitos setores exigem que as empresas desse setor estejam em conformidade com um conjunto específico de requisitos.
A necessidade de conformidade é, de fato, uma grande força motriz, mas não deve ser confundida com o único objetivo de investir em segurança. Simplesmente visando a conformidade não é suficiente; longe disso, na verdade. Existem várias razões pelas quais a conformidade não é suficiente, e vamos revisá-las neste artigo.
O Regulamento de Atraso
A conformidade é baseada em regulamentações que regem indústrias específicas, por exemplo, o Ibexlabs suporta muitas organizações de assistência médica cuja infraestrutura de nuvem e software devem estar em conformidade. Infelizmente, fazer alterações na regulamentação do governo nunca é um processo fácil. Isso leva aos padrões de segurança exigidos para que a conformidade seja insuficiente, e há uma razão simples para isso.
Os ataques direcionados a empresas e indivíduos estão constantemente se adaptando e evoluindo para novos desafios e melhores medidas de segurança. Na verdade, eles estão se adaptando a um ritmo incrível; uma taxa que não pode necessariamente ser correspondida por mudanças nos padrões e regulamentos.
Quando você deseja apenas a conformidade, está seguindo padrões “desatualizados” que nem sempre são capazes de proteger informações confidenciais dos novos desafios. Isso significa deixar a maioria de sua infraestrutura exposta a riscos maiores.
Falta de Envolvimento
A conformidade também raramente toca um elemento importante na segurança da informação: as pessoas.
Claro, as políticas de treinamento e segurança fazem parte do cumprimento dos padrões de segurança da informação, mas certamente não são suficientes se o objetivo for criar uma infraestrutura de TI segura.
Um conjunto mais abrangente de políticas é necessário para realmente proteger informações confidenciais de dentro. O gerenciamento e monitoramento de acesso, incluindo o registro detalhado do acesso, também são essenciais na prevenção de violações de dados causadas por erro humano ou atos deliberados.
Falando de erro humano, há também a necessidade de treinamento regular, lembretes e compreensão geral das melhores práticas de segurança da informação. Cada parte da organização precisa assumir um papel mais ativo na proteção de informações cruciais para a organização e seus stakeholders.
Comentários infrequentes
Mantendo esses desafios em evolução, existe também o fato de que a maioria dos padrões de conformidade só vem com revisões de segurança anuais ou semestrais. O que geralmente acontece é que mudanças súbitas e ajustes são feitos antes do processo abrangente de revisão, tudo para o cumprimento dos padrões de segurança.
A segurança da informação não é mais uma coisa única. É um processo contínuo que envolve monitoramento e avaliação constantes. É aqui que ferramentas como o Amazon GuardDuty – uma ferramenta para monitoramento ativo de ameaças no ambiente Amazon Web Services – se tornam muito importantes.
Se a sua infraestrutura de TI depende da plataforma de nuvem da Amazon, você realmente tem mais ferramentas para usar. A AWS também vem com o Inspector e o AWS Artifact, ambos ferramentas cruciais para avaliações de segurança.
Combinado com os recursos existentes, como o AWS IAM e o CloudHSM, manter o máximo de segurança das informações torna-se um processo contínuo inseparável do seu fluxo de trabalho operacional. É assim que os mais altos padrões de conformidade de segurança são superados.
Uma postura mais proativa
Também é importante observar que a segurança da informação não é apenas proteger-se contra ataques. Na verdade, trata-se mais de impedir que ataques afetem seu ecossistema de TI, o que não é o objetivo principal de muitos padrões de conformidade de segurança.
Referindo-se novamente às ferramentas mencionadas anteriormente, muitos dos recursos de segurança em nuvem da Amazon são projetados para uma melhor detecção antecipada e prevenção de violação de dados. O GuardDuty é muito abrangente por si só. Analisa as atividades a uma velocidade incrível e detecta imediatamente possíveis ameaças.
A ferramenta exibirá essas ameaças no seu feed de inteligência. Você pode ver claramente endereços IP mal-intencionados e fontes de solicitações incorretas, incluindo solicitações provenientes de suas próprias instâncias do EC2. Isso significa que o GuardDuty pode realizar uma verificação abrangente dos ecossistemas existentes assim que for ativado.
Conformidade só ajuda você a alcançar o mínimo
Por último, mas certamente não menos importante, há também o fato de que os padrões de conformidade são projetados para serem inclusivos. A indústria precisa que muitos – se não todos – seus players tenham a capacidade de cumprir os padrões de segurança sem ter que fazer grandes mudanças.
A maioria dos padrões de conformidade foi criada apenas para ser o mínimo possível, em vez de um conjunto abrangente de requisitos.
Pense na conformidade de segurança como definir uma senha. Sim, é possível usar o 12345678 como uma senha porque é necessário (embora quem faz isso hoje em dia?).
Mas a senha está longe de ser segura. Adicionar uma senha é um começo; O próximo passo é mudar a senha para que seja mais difícil de adivinhar. Para concluir o conjunto, verifique se a senha está protegida e não é compartilhada com ninguém.
Tomar medidas adicionais e exceder o mínimo é uma obrigação. Quando você considera a complexidade dos ataques virtuais de hoje, basta cumprir os padrões de segurança.
Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?