Anteriormente, você foi apresentado aos frameworks de segurança e como eles fornecem uma abordagem estruturada para a implementação de um ciclo de vida de segurança. AS, um ciclo de vida de segurança é um conjunto de políticas e padrões em constante evolução. Nesta leitura, você aprenderá mais sobre como as frameworks de segurança, os controles e os Reguladores de conformidade - ou leis - são usados em conjunto para gerenciar a segurança e garantir que todos façam a sua parte para minimizar os riscos.
Como os controles, as frameworks e a conformidade estão relacionados
A tríade Confiança, integridade e disponibilidade (CIA) é um modelo que ajuda a informar como as organizações consideram o risco ao configurar sistemas e políticas de segurança.
Confiança, integridade e disponibilidade (CIA) são os três princípios fundamentais usados pelos profissionais de segurança cibernética para estabelecer controles adequados que reduzam as ameaças, os riscos e as vulnerabilidades.
Como você deve estar lembrado, os Controles de segurança são salvaguardas projetadas para reduzir Riscos de segurança específicos. Portanto, eles são usados juntamente com os frameworks para garantir que as metas e os processamentos de segurança sejam implementados corretamente e que as organizações atendam aos Requisitos de conformidade regulamentar.
As estruturas de segurança são diretrizes usadas para criar planos que ajudem a reduzir os riscos e as ameaças aos dados e à privacidade dos dados. Elas têm quatro componentes principais:
Identificação e documentação das metas de segurança
Definição de diretrizes para atingir as metas de segurança
Implementação de processos sólidos de segurança
Monitoramento e comunicação dos resultados
Conformidade é o processamento da adesão aos padrões internos e aos regulamentos externos.
Controles específicos, frameworks e conformidade
O National Institute of Standards and Technology (NIST) é uma agência sediada nos EUA que desenvolve várias frameworks de conformidade voluntária que as organizações do mundo todo podem usar para ajudar a gerenciar os riscos. Quanto mais alinhada uma organização estiver com a conformidade, menor será o risco.
Exemplos de frameworks incluem o NIST Cybersecurity Framework (CSF) e o NIST Risco Management Framework (RMF).
Observação: as especificações e diretrizes podem mudar dependendo do tipo de organização em que você trabalha.
Além do NIST CSF e do NIST RMF, há vários outros controles, frameworks e padrões de conformidade com os quais é importante que os profissionais de segurança estejam familiarizados para ajudar a manter seguras as organizações e as pessoas que elas atendem.
A Comissão Federal Reguladora de Energia - Corporação Norte-Americana de Confiabilidade Elétrica (FERC-NERC)
A FERC-NERC é um Regulador que se aplica a organizações que trabalham com eletricidade ou que estão envolvidas com a rede de poder dos EUA e da América do Norte. Esses tipos de organizações têm a obrigação de se preparar, mitigar e relatar qualquer possível incidente de segurança que possa afetar negativamente a rede de poder. Elas também são legalmente obrigadas a aderir aos Padrões de Confiabilidade de Proteção de Infraestrutura Crítica (CIP) definidos pela FERC.
O Programa Federal de Gerenciamento de Riscos e Autorização (FedRAMP®)
O FedRAMP é um programa do governo federal dos EUA que padroniza a avaliação de segurança, a autorização, o monitoramento e o manuseio de serviços e ofertas de produtos na nuvem. Seu objetivo é fornecer consistência entre o setor governamental e os provedores de Nuvem de terceiros.
Centro de Segurança da Internet (CIS®)
O CIS é uma organização sem fins lucrativos com várias áreas de ênfase. Ele fornece um conjunto de controles que podem ser usados para proteger sistemas e redes de computadores contra ataques. Seu objetivo é ajudar as organizações a estabelecer um melhor plano de defesa. O CIS também fornece controles acionáveis que os profissionais de segurança podem seguir se ocorrer um incidente de segurança.
Regulador Geral de Proteção de Dados (GDPR)
O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento geral de dados da União Europeia (UE) que protege o processamento de dados de residentes da UE e seu direito à Privacidade dos dados dentro e fora do território da UE. Por exemplo, se uma organização não estiver sendo transparente sobre os Dados que mantém sobre um cidadão da UE e por que está mantendo esses dados, isso é uma infração que pode resultar em uma multa para a organização. Além disso, se ocorrer uma violação e os dados de um cidadão da UE forem comprometidos, ele deverá ser informado. A organização afetada tem 72 horas para notificar o cidadão da UE sobre a violação.
Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS)
O PCI DSS é um padrão de segurança internacional que visa garantir que as organizações que armazenam, aceitam, processam e transmitem informações de cartões de crédito o façam em um ambiente seguro. O Objetivo desse padrão de conformidade é reduzir a fraude com cartões de crédito.
Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
A HIPAA é uma lei federal dos EUA criada em 1996 para proteger as informações de saúde dos pacientes. Essa lei proíbe que as informações dos pacientes sejam compartilhadas sem o consentimento deles. Ela é regida por três regras:
Privacidade
Segurança
Notificação de violação
As organizações que armazenam dados de pacientes têm a obrigação legal de informar os pacientes sobre uma violação, pois se as Informações de Saúde Protegidas (PHI) dos pacientes forem expostas, isso pode levar a roubo de identidade e fraude de seguro. As PHI estão relacionadas à saúde ou condição física ou mental passada, presente ou futura de um indivíduo, seja um plano de atendimento ou pagamentos por atendimento. Além de entender a HIPAA como uma lei, os profissionais de segurança também precisam conhecer a Health Informações Trust Alliance (HITRUST®), que é um framework de segurança e um programa de garantia que ajuda as instituições a atender à conformidade com a HIPAA.
Organização Internacional de Padronização (ISO)
A ISO foi criada para estabelecer padrões internacionais relacionados à tecnologia, fabricação e gerenciamento entre fronteiras. Ela ajuda as organizações a melhorar seus processos e procedimentos de retenção de pessoal, planejamento, desperdício e serviços.
Controles de sistemas e organizações (SOC tipo 1, SOC tipo 2)
O conselho de padrões de auditoria do American Institute of Certified Public Accountants® (AICPA) desenvolveu esse padrão. O SOC1 e o SOC2 são uma série de relatórios que se concentram nas políticas de acesso de usuários de uma organização em diferentes níveis organizacionais, como:
Associado
Supervisor
Gerente
Executivo
Fornecedores
Outros
São usados para avaliar a conformidade financeira e os níveis de risco de uma organização. Também abrangem a confidencialidade, a privacidade, a integridade, a disponibilidade, a segurança e a segurança geral dos dados. As falhas de controle nessas áreas podem levar a fraudes.
Dica profissional: há vários Reguladores que são revisados com frequência. Recomendamos que você se mantenha atualizado com as mudanças e explore mais frameworks, controles e conformidade. Duas sugestões para pesquisa: a Lei Gramm-Leach-Bliley e a Lei Sarbanes-Oxley.
Ordem Executiva Presidencial 14028 dos Estados Unidos
Em 12 de maio de 2021, o presidente Joe Biden divulgou uma ordem executiva relacionada à melhoria da segurança cibernética do país para remediar o aumento da atividade de agentes de ameaças. Os esforços de remediação são direcionados a agências federais e terceiros com vínculos com a infraestrutura crítica dos EUA. Para obter mais informações, consulte a Ordem Executiva sobre o aprimoramento da segurança cibernética do país.
Principais lições
Nesta leitura, você aprendeu mais sobre controles, frameworks e conformidade. Também aprendeu como eles trabalham juntos para ajudar as organizações a manter um nível baixo de risco.
Como analista de segurança, é importante manter-se atualizado sobre frameworks, controles e Reguladores de conformidade comuns e estar ciente das Mudanças no cenário da segurança cibernética para ajudar a garantir a segurança das organizações e das pessoas.
Nenhum comentário:
Postar um comentário