Principais mitos sobre segurança e conformidade de TI

 

Dentro do setor de segurança, estamos constantemente buscando uma solução para esses problemas convergentes – tudo isso acompanhando o ritmo dos negócios e da conformidade regulatória. Muitos se tornaram cínicos e apáticos com o fracasso contínuo dos investimentos destinados a evitar esses eventos infelizes. Não há bala de prata, e acenar com uma bandeira branca é igualmente problemático.

O fato é que ninguém sabe o que pode acontecer a seguir. E um dos primeiros passos é reconhecer os limites inerentes ao nosso conhecimento e faculdades de previsão. A partir daí, podemos adotar métodos de raciocínio, evidências e medidas proativas para manter a conformidade em um mundo em mudança. Dethroning o mito da conformidade passiva é um passo importante para alcançar agilidade de segurança, reduzir o risco e encontrar ameaças em hiper-velocidade.

Vamos desmascarar alguns mitos sobre segurança e conformidade de TI:

Mito 1: Os Padrões de Segurança de Dados do Setor de Crédito de Pagamento (PCI DSS) são Necessários Apenas para Grandes Negócios

Para o bem da segurança dos dados de seus clientes, esse mito é inequivocamente falso. Não importa o tamanho, as organizações devem atender aos Padrões de segurança de dados do setor de cartões de pagamento (PCI DSS). Na verdade, os dados de pequenas empresas são muito valiosos para os ladrões de dados e, muitas vezes, mais fáceis de acessar devido à falta de proteção. O não cumprimento do PCI DSS pode resultar em grandes multas e penalidades e pode até mesmo perder o direito de aceitar cartões de crédito.

Os cartões de crédito são usados para mais do que simples compras no varejo. Eles são usados para se inscrever em eventos, pagar contas online e realizar inúmeras outras operações. A melhor prática diz para não armazenar esses dados localmente, mas se a prática de negócios de uma organização exigir que as informações do cartão de crédito dos clientes sejam armazenadas, é necessário tomar medidas adicionais para garantir a segurança dos dados. As organizações devem provar que todas as certificações, acreditações e protocolos de segurança de melhores práticas estão sendo seguidos à risca.

Mito 2: Eu preciso ter um firewall e um IDS / IPS para ser compatível

Alguns regulamentos de conformidade, de fato, dizem que as organizações são obrigadas a executar o controle de acesso e a realizar o monitoramento. Alguns, de fato, dizem que dispositivos de controle de “perímetro”, como VPN ou firewall, são necessários. Alguns, de fato, dizem a palavra “detecção de intrusão”. No entanto, isso não significa necessariamente ir e implantar NIDS ou um firewall em todos os lugares.

O controle de acesso e monitoramento podem ser realizados com muitas outras tecnologias. Não há nada errado em usar um firewall ou soluções NIDS para atender a quaisquer requisitos de conformidade, mas e a autenticação centralizada, controle de acesso à rede (NAC), detecção de anomalias de rede, análise de log, uso de ACLs em roteadores de perímetro e assim por diante?

Mito 3: A conformidade é toda sobre regras e controle de acesso.

A lição deste mito é não se tornar míope, focando apenas na postura de segurança (regras e controle de acesso). Conformidade e segurança de rede não são apenas sobre a criação de regras e controle de acesso para uma postura aprimorada, mas uma avaliação contínua em tempo real do que está acontecendo. Esconder-se atrás de regras e políticas não é desculpa para falhas de conformidade e segurança.

As organizações podem superar esse viés com uma análise direta e em tempo real do que está acontecendo a qualquer momento. O atestado de segurança e conformidade vem do estabelecimento de políticas de controle de acesso em toda a rede e da análise contínua da atividade real da rede para validar as medidas de segurança e conformidade.

Mito 4: A conformidade é relevante somente quando há uma auditoria.

As redes continuam a evoluir e esse continua sendo o desafio mais importante para a segurança e a conformidade da rede. Curiosamente, a evolução da rede não fica em estado de prontidão, enquanto o pessoal de conformidade e segurança se atualiza.

Não apenas as mutações de rede estão aumentando, mas novos padrões de conformidade estão mudando dentro do contexto desses novos modelos de rede. Esse desafio discreto e combinatório adiciona novas dimensões ao mandato de conformidade que estão em andamento, não apenas durante uma auditoria iminente.

Sim, a última geração de firewalls e tecnologias de registro pode tirar proveito do fluxo de dados da rede, mas a conformidade é alcançada quando há uma disciplina de analisar todos esses dados. Somente observando os dados em tempo real, a equipe de conformidade e segurança de rede pode ajustar e reduzir os riscos adequadamente.

Apertar os controles de rede e o acesso dá aos auditores a garantia de que a organização está tomando medidas proativas para orquestrar o tráfego de rede. Mas o que a rede atual nos diz? Sem praticar regularmente a análise de logs, não há como verificar se a conformidade foi obtida. Essa análise regular acontece sem referência a quando uma auditoria está próxima ou recentemente falhou.

Mito 5: A visibilidade em tempo real é impossível.

A visibilidade em tempo real é um requisito no ambiente de negócios global atual. Com mudanças legislativas e regulamentares tão rapidamente, as equipes de segurança e conformidade de rede precisam acessar os dados em toda a rede.

Muitas vezes, os dados vêm em vários formatos e estruturas. Os relatórios e atestados de conformidade tornam-se um exercício de ‘união de dados’ para validar que a atividade de rede está em conformidade com as regras e políticas. A equipe de segurança e conformidade deve se tornar, de fato, cientistas de dados para obter respostas do oceano de dados. Este é um esforço hercúleo.

Ao implantar um novo requisito de conformidade, há um processo de garantia em que o padrão é testado em relação ao acesso que a nova regra permite ou nega. Como você sabe se uma determinada regra ou política terá o efeito desejado (conforme a conformidade)? Na maioria das organizações, você não tem pessoal nem tempo para avaliar a atividade da rede no contexto dos padrões de conformidade. No momento em que um novo padrão de conformidade é devido, o processo de união de dados não está completo, deixando-nos sem maior confiança de que a conformidade foi alcançada. Não importa o quão rápido você costurar dados, parece que o grande número de padrões irá mantê-lo girando suas rodas.

Naturalmente, o outro lado desse dilema é que esses padrões realmente impedem os comprometimentos de dados. Mas, enquanto boa parte de seus recursos é encarregada de testar e implementar padrões, outra parte da equipe está implementando ainda mais permutações da rede. Isso é o que os físicos chamam de sistema dinâmico.

É natural supor: “Bem, acho que isso não pode ser feito”. Isso está errado. O uso da montagem automatizada de dados encurta o tempo para avaliar os padrões de conformidade e os resultados produzidos pelas políticas e regras.

 

Add a Comment

Your email address will not be published. Required fields are marked *