5 Dicas de especialistas para garantir o Compliance em 2018 (em diante)

*Por Matt Middleton

Esse foi um ano difícil para as empresas que precisaram passar pelas auditorias de compliance, e 2018 não parece aliviar. O cenário regulatório continuará mudando. Na sequência da violação de Equifax, as Regras de Cibersegurança de Nova York, que entraram em vigor em março de 2017 e já eram as mais fortes nos EUA, estão sendo extendidas para todas as agências de relatórios de crédito que realizam negociações com as empresas regulamentadas de Nova York. A publicação especial 800-171 de NIST vem com força no dia 31 de dezembro de 2017 e vai regular a proteção de informação controlada não-classificada (CUI em inglês) em sistemas e empresas não-federais. E talvez a maior mudança virá no dia 25 de março de 2018, ou seja, a Regulação de proteção de dados gerais (GDPR em inglês) da UE,  que se aplica para todas as empresas que processam dados pessoais dos habitantes da UE, independentemente de onde se baseie.

Você está preparado para todas essas regulações? Muitas empresas não estão. Pode ser até mesmo difícil de saber por onde começar.

Aqui constamos 5 estratégias que irão ajudá-lo a entrar em compliance com as novas leis e regulações de proteção de informações confidenciais em 2018 e a estar preparado para rapidamente entrar em compliance com outras regulamentações que sem sombra de dúvida virão nos anos seguintes.

  1. Avalie seu status atual de cibersegurança e obtenha a ajuda certa.

As empresas de verticais altamente regulamentadas são as mais propensas a ter consciência e os processos necessários para se adaptarem aos novos regulamentos; as outras empresas ainda precisam expandir a visibilidade da cibersegurança no nível-C. Não são todas as empresas que possuem profissionais de cibersegurança na equipe ou podem contratá-los. A demanda está aumentando para ferramentas que automatizam os controles técnicos necessários e para consultoria e serviços de segurança para implementar e gerenciar essas ferramentas e processos.

  1. Torne a cibersegurança uma prioridade do maior nível

Muitas empresas subestimaram as violações de dados ao longo dos anos, oferecendo proteção contra fraudes de crédito para clientes impactados, mas sem nenhuma responsabilidade executiva real. Mas o fato de que o CEO, CIO e CISO da Equifax simplesmente se aposentaram após a recente violação de dados em larga escala está intrigando muitas pessoas. Os reguladores dos EUA estão tentando estabelecer uma responsabilidade no nível-C para que as violações de dados não possam simplesmente ser cobertos de insegurança. Nos EUA, o GDPR já está claro: os executivos são responsáveis por garantir que os dados sejam seguros. Entretando, as empresas não podem somente incentivar melhoras nos programas de segurança, mas também garantir o fluxo de financiamento estável para esses programas. Infelizmente, uma só pessoa não pode consertar um problema de segurança de dados fraca; É necessário uma abordagem direcionada ao trabalho liderado por um sênior.

  1. Estabeleça uma avaliação de risco e minimização de processo, e use isso continuamente.

As empresas precisam estabelecer uma avaliação de risco rentável e minimização de processos que irá ajudá-las a identificar e priorizar os riscos que estão ameaçando a segurança de dados, para que possam melhorar o processo e as políticas para minimizar os riscos. E é necessário entender que a avaliação de risco não é realizada somente uma vez. Os ambientes de TI e o cenário de ameaças esão mudando constantemente, a revisão de riscos e minimização de processos devem ser repetidos anualmente ou trimestralmente.

  1. Mantenha-se em alerta para problemas urgentes que aparecem entre sua avaliação de risco regular.

Mesmo que a avaliação de risco seja um processo regular em um nível executivo, a equipe de segurança designada deve sempre se manter alerta às mudanças no cenário de segurança – uma nova variação de malware ou uma nova descoberta de vulnerabilidade não podem esperar até a próxima reunião. Estabeleça um processo para avaliação e responda a novas ameaças para que a empresa tenha consciência delas.

  1. Adote um framework de segurança para proteção de informação.

Escolha um dos frameworks de cibersegurança dísponíveis e  tenha seus executivos, especialistas de segurança e profissionais de TI trabalhando juntos para adaptá-lo ao seu ambiente, processo e cultura. Lembre-se, você não pode eliminar a possibilidade de uma violação. Mas uma violação não é o que causa mais afronta aos clientes ou oficiais do governo; e sim como é lidado. Há duas coisas que as empresas falham repetidamente:

  • Seguir as melhores práticas de higiene da cibersegurança. Pense em coisas simples como segmentação de rede (Target / Alvo) e gerenciamento de patches (Equifax).
  • Notifique os clientes e autoridades afetadas em tempo hábil. Demorou cerca de 40 dias para a Equifaz divulgar a violação de dados depois de obterem consciência disso. Compare isso com o requisito de divulgação de 30 dias proposto pela administração anterior, ou para o requisito de 72 horas no GDPR e na regra de cibersegurança de Nova York.

Uma vez que você tenha implementado essas estratégias fundamentais, nenhum compliance novo de regulação de proteção de dados será capaz de arruinar seu dia. Com uma estratégia de gerenciamento de risco estabelecida e regularizada, você será capaz de se adaptar rapidamente às mudanças regulamentares e cenários de ameaças cibernéticas e fortalecer a segurança da sua informação crítica.

*Matt Middleton é Gerente geral da Netwrix