Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética

Entendendo os mandatos de conformidade da UE

Editorial Illumio
,
May 19, 2020
23 leitura mínima

Conformidade, conformidade, segurança, segurança? Em teoria, os mandatos que regem os setores em que trabalhamos fornecem orientação e definem estruturas que visam estabelecer barreiras em torno das formas de segurança aplicáveis — cibernética ou não.


Isso pode dar origem a pontos de vista diferentes, uma dicotomia na interpretação — ou pelo menos um ponto de discussão sobre a aplicação dos detalhes do mandato. Provavelmente, todos nós já ouvimos o termo “exercício de caixa de seleção” quando nos referimos à conformidade, seja como uma forma não para tratá-lo, ou como um comentário descartável e irônico de profissionais sofredores que trabalharam para implementar os vários mandatos de conformidade que se aplicam ao seu setor ou região relevante.


Tenho uma visão pessoal, moldada por meio de algumas das experiências acima e do trabalho em estreita colaboração com organizações e indivíduos que passaram um tempo significativo analisando estruturas de conformidade. Freqüentemente, o que descobri é que a aplicação prática da conformidade se torna mais fácil, direta e menos complexa ao trabalhar “no espírito” do mandato, e não nos detalhes técnicos do secador. Obviamente, os detalhes são mais ou menos importantes dependendo do tipo de conformidade, mas geralmente é importante tentar examinar o texto para descobrir o “significado” de um determinado controle. A intenção por trás da regra, e o que isso significa para aumentar ou melhorar a segurança, é minha maneira preferida de lidar com isso.


Em essência, e em referência ao meu comentário anterior, a conformidade realmente existe para fornecer um nível básico de segurança, ou uma melhoria geral na postura, e a capacidade de verificar essa postura de forma confiável.


Como uma ressalva, existem diferenças nos detalhes específicos que determinados mandatos expressam. Por exemplo, PCI DSS fornece detalhes específicos sobre registro e monitoramento de arquivos, enquanto o Diretiva NIS (que é específico da UE) oferece uma orientação muito mais ampla e mais variação em nível local, por país.


Da mesma forma, minha experiência com a interpretação de um auditor ou órgão auditor muitas vezes pode coincidir com isso — na medida em que um bom auditor analisará mais a intenção e a eficácia do que apenas os detalhes técnicos. Isso, é claro, está diretamente relacionado à especificidade do mandato (como acima), e essa é apenas minha própria experiência direta.


Você pode estar se perguntando: onde o Illumio se encaixa? O traço comum entre nossos negócios e os órgãos governamentais mencionados acima é que todos compartilham o objetivo comum de proteger ativos e dados de alto valor. Todos os mandatos de conformidade que vemos governam dados, práticas de segurança cibernética e, em algumas infraestruturas críticas, têm um raciocínio comum em sua essência. Proteger os dados ou os sistemas que manipulam e transferem esses dados — sejam informações de cartão de crédito, informações de identificação pessoal (PII), registros de pagamento, dados de ativos ou sistemas de controle desses e de outros — está no centro de todas as exigências de conformidade. Dito isso, essa proteção sempre envolve um aspecto de separação ou microssegmentação. O objetivo: limitar a superfície de ataque, o raio de explosão de um acordo ou buscar um máximo Modelo Zero Trust de acesso e conectividade para manter os sistemas e dados críticos longe das áreas de menor prioridade/menos críticas de alguma forma.

Illumio Screenshot


Para esse fim, esta série de blogs se concentrará em analisar os detalhes das diferentes áreas de conformidade, com — criticamente — um contraponto a cada postagem de blog de um profissional externo experiente nessa área. Isso ajuda a colorir meu próprio comentário, mas também permite alguns detalhes específicos sobre a maneira diferente pela qual cada mandato pode ser interpretado e auditado em nível governamental ou terceirizado (incluindo contribuições dos próprios auditores).


Agradecemos antecipadamente aos que estão contribuindo!


Vamos nos concentrar principalmente nas normas de conformidade específicas da UE/Europa, pois elas podem diferir significativamente das dos Estados Unidos. Dessa forma, não abordarei em detalhes mandatos como HIPAA, NIST e Sarbanes-Oxley. Também vou deixar de lado o lado do PCI DSS, como fizemos informações significativas sobre conformidade com o PCI Já está aqui na Illumio.


Com isso, as áreas abordadas nesta série serão agrupadas em algumas áreas de governo semelhantes:

Infraestrutura crítica — Diretiva NIS, LPM
Esta postagem do blog abordará a relativamente nova Diretiva NIS (Diretiva de Sistemas de Rede e Informação), uma vez que se aplica aos países da UE. Este é um mandato interessante devido à sua ampla missão, relação com o GDPR e sua interpretação relativamente aberta e local. Esta postagem também incluirá detalhes sobre a natureza mais aberta da Diretiva NIS; orientação em vez de controles obrigatórios, que se relacionam com os pontos anteriores desta postagem sobre o intenção da conformidade e sua implementação.

Também relacionada, e contribuindo para a criação da Diretiva NIS, está a lei francesa de proteção de infraestrutura crítica de informações (LPM) — um mandato específico de infraestrutura crítica mais madura com alguns controles interessantes.

Finanças/Pagamentos — SWIFT, ECB SIPS
Aqui, abordaremos os mandatos financeiros, o SWIFT, que é um dos primeiros que a plataforma Illumio foi usada para proteger, e a orientação de conformidade do BCE SIPS (Banco Central Europeu — Sistemas de Pagamento Sistematicamente Importantes) específica da UE.

Tratamento de dados — ISO 27001, GDPR
Neste post, discutiremos governança e controle de dados, proteção de PII e sistemas de hospedagem. Essa é outra área com uma ampla gama de possíveis implicações e interpretações. O GDPR, por exemplo, está tangencialmente conectado aos padrões mais específicos de segurança cibernética, ao mesmo tempo em que está intimamente ligado à Diretiva NIS.


Estou ansioso para compartilhar ideias e conhecimentos de especialistas em conformidade e explicar como a Illumio pode ajudar qualquer organização a atingir suas metas de conformidade.

Tópicos relacionados

Conformidade

Artigos relacionados

Operacionalizando o Zero Trust — Etapa 6: Validar, implementar e monitorar
Resiliência cibernética

Operacionalizando o Zero Trust — Etapa 6: Validar, implementar e monitorar

Saiba mais sobre uma etapa importante na jornada Zero Trust de sua organização: validar, implementar e monitorar.

Leia mais
Como se proteger contra a nova vulnerabilidade de segurança da porta TCP 135
Resiliência cibernética

Como se proteger contra a nova vulnerabilidade de segurança da porta TCP 135

Uma forma de explorar a porta TCP 135 para executar comandos remotos introduziu uma vulnerabilidade na porta 445, tornando necessário proteger a porta 135 para garantir a segurança do TCP.

Leia mais
A segurança da rede está morta?
Resiliência cibernética

A segurança da rede está morta?

Saiba como a ideia de desperimetrização, apresentada pelo Jericho Forum em 2004, está mudando a estratégia de segurança cibernética por meio do Zero Trust.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais