Como testar o Compliance da sua Empresa
Eli Kugel
Compliance, é hora de se atualizar
A existência de leis é algo muito positivo. Por exemplo, usar sinto de segurança é uma lei muito eficiente. Ele garante que você tenha menos chances de se machucar em um acidente de carro. Então por que ela demorou tanto para ser introduzida?
Porque o Estado leva tempo para se adaptar a novos cenários (como os perigos de acidentes rodoviários), e vamos ser honestos – o mercado de crimes cibernéticos está crescendo de maneira alarmante – algumas cidades dos Estados Unidos pagaram somas como 600 mil dólares por resgates (ransomware) em 2019.
Dito isso, as leis de conformidade ou compliance cibernético estão fazendo um ótimo trabalho em ajudar às empresas a garantirem que suas estruturas de segurança estejam atualizadas, com 41% das empresas planejando acessar a soluções FinTech e RegTech em 2020 e quase 2/3 dizem que aumentarão seu orçamento para compliance.
Vamos falar a seguir sobre algumas regulamentações que estão surgindo na área de segurança cibernética e compliance?
HIPAA, Protegendo a integridade dos Dados
HIPAA é uma das regulamentações mais conhecidas nos Estados Unidos com uma ampla gama de leis que protegem de invasores, a integridade dos dados. Mas somente em 2013 foi criada uma subseção da HIPPA. Uma das coisas mais importantes dessa nova regra de segurança é que se tornou obrigatório notificar a mídia local de qualquer invasões de 500 ou mais residentes de uma área ou jurisdição, garantindo que todos saibam que seu plano de saúde sofreu uma falha de segurança.
Sarbanes-Oxley – A empresa pública de regulamentação
Com o intuito de proteger o público contra fraude no setor financeiro, a lei Sabanex-Oxley (SOX) de 2002 foi aprovada. Ela garante que as empresas sejam transparentes no que diz respeito a relatórios financeiros e as impeçam de alterar dados. A lei foi modificada diversas vezes para incluir o vocabulário de Cyber-segurança vinculadas a relatórios de sistemas e políticas de controle de qualidade. Em resumo: empresas públicas e suas filiadas precisam ter sistemas que protejam seus dados contra fraudes e alterações e que todos esses dados, incluindo das afiliadas, estejam disponíveis para o exame de auditores.
GDPR – Resgate veio da Europa
LGPD – Lei Geral de Proteção de Dados - Brasil
Depois de muita conversa sobre a Regulamentação e Proteção de Dados Gerais (GDPR) da União Europeia (UE), finalmente em maio de 2018 ela foi aprovada. No Brasil a LGPD foi sancionada em agosto de 2020. Se aplica a todas as organizações – estejam elas baseadas na EU/Brasil ou fora da região, mas lidando com dados de cidadãos da EU/brasileiros. “Dados pessoas” conforme a definição da GDPR/LGPD podem ser: nome, foto, e-mail, dados bancários, informação médica ou IP do computador.
Controladores de dados e processadores (dois níveis de gerenciamento de dados definidos pelo GDPR/LGPD) possuem obrigação legal de estabelecer uma avaliação objetiva dos impactos da proteção de dados e quantificar seus riscos.
É necessária a implementação de ferramentas apropriadas, tecnologia e controles de processos para a demonstração de que tudo se encontra em conformidade com as regras do GDPR/LGPD. Controladores de dados precisam também conduzir testes, avaliações e atualizações de controles regulares para a segurança permanente do processamento de dados, uma vez que os mesmos se definem como empresas cujo negócio principal é obter, armazenar e vender/compartilhar dados.
Enquanto NYDFS500 é visto como a regulamentação mais explícita de proteção e notificação de dados, a GDPR/LGPD é vista como mais ampla. Todas as empresas que compram, possuem, processam e/ou conduzem transações com Informações de Identificação Pessoal (PII) de ou sobre cidadão da EU/Brasil precisam estar em conformidade com o GDPR/LGPD, não importando a área sua de atuação.
PCI – Regulamentação de Informações de Pagamentos do Consumidor
A maioria das pessoas no mundo de hoje utiliza cartões de crédito para quase tudo, desde compras online até o pagamento de gasolina do posto perto de casa. O PCI se certifica de que todas as empresas que estão processando seu cartão de crédito o fazem da maneira correta e segura.
O PCI inclui regras para proteger os dados dos consumidores através de firewalls, criptografia, sistemas anti-malware, controle de acesso e o mais importante: monitoramento e testes contínuos da segurança da empresa e seus processos, especialmente de sistemas que realizam todas as informações de pagamentos. Um Assessor de Segurança Interna da empresa ou um Assessor Externo qualificado valida o compliance da empresa anualmente para garantir que os padrões estão sendo seguidos. Para empresas que geram alto volume de transações, o assessor cria um relatório de auditoria diário para cobrir cada aspecto do recolhimento e segurança dos dados de pagamento. Empresas com baixo volume de transações podem realizar um questionário de auditoria própria, mas ainda sim precisam tomar precauções para com as informações de seus consumidores.
Mais requerimentos: 23 NYCRR 500
Finalmente, uma regulamentação mais severa. A regulamentação 23 NYCRR 500 (conhecida também como NYDFS500) se aplica a qualquer empresa que lida com quaisquer tipos de informações financeiras e pecuniárias. De maneira geral, isso inclui bancos, seguradoras e outros serviços financeiros licenciados pelo Departamento de Serviços Financeiros do Estado de Nova Iorque para lidar com todos as formas de transações financeiras.
Cada entidade coberta deve desenvolver e manter um programa de cyber-segurança para proteger a confidencialidade, integridade e disponibilidade de sistemas de informação. Muitas pessoas consideram que essa é a regulamentação em vigor mais rigorosas de cyber-segurança, principalmente porque inclui requisitos de monitorização contínua e/ou testes periódicos com pen-testing para todas as organizações que se encontram sob a sua jurisdição.
Mesmo em empresas menores (que normalmente estão isentas desse tipo de regras) precisam estar em conformidade, pelo menos com uma parte dos requerimentos da regulação.
Ato de Privacidade do Consumidor da Califórnia (CCPA) – A Califórnia na Liderança
A CCPA entrou em vigor há algumas semanas somente e é muito similar, com pequenas diferenças de outras leis de privacidade da California, como a CalOPPA, Shine the Light, e Direitos de Menores da California no Ato do Mundo Digital.
Ela regulamenta todas as empresas com fins lucrativos que coletam dados de qualquer residente do estado da California (o estado mais populoso dos EUA) que se orgulha de produzir 25 milhões em receitas anuais, que compreende a maior parte de setores industriais de e-commerce nos EUA.
Com requerimentos que dizem respeito a coleta, uso e proteção dos dados pessoais de residentes da California, as multas podem chegar até $7,500 por incidente – incidente se refere ao acesso não autorizado de dados por qualquer indivíduo ou empresa. Violar os direitos garantidos pelo CCPA de 1000 usuários podem resultar numa multa de $7.500,000!!
É um cheque alto para ser assinado, considerando a quantidade de dados pessoais que as empresas possuem, e garante que empresas de seguro mantenham esses dados a salvo.
O aspecto mais notável do CCPA é ser a primeira regulamentação a citar especificamente que acessos não autorizados, que podem levar a divulgação do PII (mesmo se tiver sido removido do banco de dados) são considerados violações. Então um indivíduo suspeito pesquisando dados pode, potencialmente, desencadear as penalidades dessa regulamentação.
Último, mas não menos importante: ISO 27001
A Organização Internacional para Padronização/ Documento da Comissão Internacional Eletro-técnica 27000 (abreviada como ISO/IEC 27000), é um conjunto de regras que ajudam às empresas a se manterem focadas na segurança e controle de dados e informações. Utiliza uma abordagem top-down, baseada em risco e tecnologicamente neutra. O que a ISO/IEC 27000 faz? Ela oferece um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar o gerenciamento de sistemas de segurança.
Esclarecendo, a ISO/IEC 27000 não é uma regulamentação, mas um padrão. Isso significa que ainda que você não seja multado por não estar em conformidade com ela, conduzir negócios sem isso será cada vez mais difícil. As empresas querem ouvir de seus possíveis parceiros ou clientes que eles têm a certificação ISO (auditados de maneira independente para verificação da conformidade com os padrões), porque isso ajudará na proteção de dados contra invasões dentro dessa relação de negócios.
Mais do que isso, algumas agencias governamentais estabelecem como pré-requisito, já que é um padrão internacional, não entra em conflito com padrões regionais ou nacionais. Por exemplo, em Israel, qualquer um que queira fazer negócios na área de saúde ou com acesso aos sistemas de saúde pública precisa ter a certificação ISO. Isso permite ao governo israelense saber que um conjunto de controles de seguranças padrão estão em vigor, sem que precisem navegar por regulamentações específicas de mais de uma dúzia de países e mais de mil cidades e ou estados.
Como se preparar para uma Auditoria de Risco e Compliance
A última coisa que alguém quer é marcar uma auditoria ou pen-test (ambas custosas e que levam tempo) só para ver o teste revelar problemas sérios de segurança que precisam ser corrigidos e ter que fazer outro teste para confirmar que as correções foram feitas. Mais preocupante é que esses testes podem se tornar permanentes nos registros públicos, dificultando o fechamento de contratos, mesmo depois dos problemas terem sido totalmente resolvidos.
Uma opção para se preparar é utilizar uma ferramenta de Simulação de Violação e Ataque – BAS - como a Cymulate
Ferramentas como essa permitem testar a segurança e controle da empresa e facilitar a identificação (e resolução) de quaisquer problemas ANTES de uma auditoria. Mais importante ainda: antes que um cyber-criminoso descubra e explore a vulnerabilidade.
Depois de simular e medir a efetividade dos sistemas de controle existentes, o Cymulate define uma pontuação de risco para cada área – levando em consideração diversos padrões e estruturas.
Um nível de risco alto indica uma lacuna da cobertura, ferramentas/ou plataformas não configuradas, falta de funcionalidade específica ou habilidade reduzida na resposta a incidentes.
Lacunas podem acontecer em qualquer lugar, desde pontos de entrada como firewalls e filtros de e-mail, passando por ameaças de usuários finais como malware, phishing/fraude de e-mails até vulnerabilidades que permitem ao invasor navegar pela rede e roubar dados. Olhando em profundidade, depois que os testes foram finalizados e a empresa recebe a pontuação de risco, é mais fácil decidir se você e sua equipe devem alocar pessoas e orçamento para resolver problemas que possam aparecer.
Conheça todas as nossas soluções de
Cyber Segurança.
Esse pode ser um processo complexo mais também muito direto como alterar algumas configurações em plataformas e ferramentas para fechar a entradas não autorizadas.
Os clientes da Cymulate ganham de volta dias de trabalho e conhecimento para que sua equipe possa executar estratégias proativas de segurança. Além de recuperar a paz de espírito de saber que toda sua infraestrutura está sendo continuamente avaliada em termos de eficiência e testada para eliminar vulnerabilidades escondidas.