Resolvendo conflitos entre melhores práticas de segurança e compliance

Às vezes, práticas recomendadas de segurança não se alinham aos modelos de conformidade de uma organização

Author Photo
4:00 pm - 01 de setembro de 2022
segurança digital

Às vezes, as práticas recomendadas de segurança mais recentes não se alinham aos modelos de conformidade de uma organização. Essas são algumas das áreas que você pode precisar de uma exceção.

Então, você lê uma ótima dica na internet e acha que isso melhoraria sua postura de segurança. Antes de levar essa dica ao gerenciamento, é aconselhável determinar se ela é permitida por seus requisitos de conformidade de segurança ou pode se tornar uma exceção aceitável para seus modelos de conformidade.

Muitos de vocês trabalham para empresas que têm vários mandatos de conformidade. Quanto maior e mais internacional for sua corporação, mais sopa de letrinhas de regulamentos de conformidade de tecnologia precisam ser seguidas: Regulamento Geral de Proteção de Dados da União Europeia (GDPR), American Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS), orientação do National Institute of Standards and Technology (NIST), Federal Information Security Management Act (FISMA) e os controles do Center for Internet Security (CIS), para citar só alguns.

Esses regulamentos terão recomendações e controles que você pode precisar revisar antes de alterar suas defesas de rede para garantir que você permaneça em conformidade. Manter-se atualizado com os modelos de conformidade normalmente é um trabalho em tempo integral.

Atualizações controladas versus não controladas do Windows

Alguns mandatos podem surpreendê-lo, dadas as mudanças que vimos em nossas redes nos últimos anos. O caso em questão é como você lida com as atualizações do Windows. As atualizações de algumas organizações não são mais controladas pelo Windows Software Update Services (WSUS), mas os regulamentos de conformidade não acompanharam a forma como implantamos as atualizações.

O antigo mandato era claro: Não permita que as atualizações do sistema sejam descontroladas. Como as notas de seção para o Server 2012 R2 afirmam: “Atualizações de sistema não controladas podem apresentar problemas a um sistema. A obtenção de componentes de atualização de uma fonte externa também pode fornecer informações confidenciais fora da empresa. A instalação ou reparo de componentes opcionais devem ser obtidos de uma fonte interna”.

Usar o WSUS e, em seguida, definir a política de grupo para que suas máquinas possam obter componentes .Net 3.5 da Internet não é recomendado com essa configuração. Conforme observado, recomenda-se:

“Configure o valor da política para Configuração do Computador -> Modelos Administrativos -> Sistema -> ‘Especificar configurações para instalação de componentes opcionais e reparo de componentes’ para ‘Ativado’ e com ‘Nunca tentar baixar carga do Windows Update’ selecionado”.

Então, você pode permitir que seus servidores se conectem independentemente ao Windows Update para manutenção ao instalar e implantar o .NET 3.5? A resposta é “depende”. Para algumas empresas, você pode ser obrigado a seguir o modelo de conformidade para o seu setor. Outros podem solicitar exceções com base nas necessidades e na postura de segurança de sua empresa.

Até o Windows Server 2019 tem requisitos para não usar recursos de atualização mais modernos. O caso em questão é a obrigatoriedade do Server 2019 de não procurar atualizações em outros dispositivos na rede usando a tecnologia de atualização ponto a ponto conhecida como Delivery Optimization. Como observado:

“O Windows Update pode obter atualizações de fontes adicionais em vez da Microsoft. Além da Microsoft, as atualizações podem ser obtidas e enviadas para PCs na rede local, bem como na Internet. Isso faz parte do processo confiável do Windows Update. No entanto, para minimizar a exposição externa, a obtenção de atualizações ou envio para sistemas na Internet deve ser evitada”.

Para garantir que os sistemas não tenham essa configuração, você precisa “Configurar o valor da política para Configuração do computador >> Modelos administrativos >> Componentes do Windows >> Otimização de entrega >> ‘Modo de download’ para ‘Ativado’ com qualquer opção, exceto ‘Internet’ selecionado”.

Corrigindo máquinas virtuais no Microsoft Azure

Mesmo ao usar uma tecnologia como o Azure, você deve seguir os mandatos de conformidade – por exemplo, que as máquinas virtuais no Azure sejam mantidas atualizadas com patches. A recomendação é usar a Central de Segurança do Azure para revisar o status das máquinas virtuais Windows e Linux. Como alternativa, você pode usar um software de patch de terceiros para manter os sistemas atualizados.

Avaliando novas plataformas de tecnologia

Você pode ser obrigado a examinar e aprovar novas plataformas de tecnologia antes de lançá-las. Tomemos por exemplo o Intune, a nova plataforma da Microsoft para gerenciar e controlar estações de trabalho. O CIS tem um modelo de auditoria para implantação do Intune. Os itens a serem revisados variam de configurações a autenticação.

Práticas recomendadas de senha versus mandatos

Os benchmarks recomendam configurações de senha que estão sendo questionadas e podem causar mais problemas com o gerenciamento de senhas. Como aponta a página de auditoria da Tenable, por exemplo, as configurações de idade de senha recomendadas em modelos de servidor e com o Intune são 60 dias ou menos. No entanto, pesquisas recentes indicaram que, se a autenticação multifator for usada junto com uma melhor tecnologia de autenticação, como o Windows Hello ou outras opções biométricas, as expirações de senha podem ser definidas para mais de 60 dias e podem até ser desabilitadas completamente. Sua organização pode precisar solicitar uma exceção a determinados modelos de conformidade porque suas escolhas tornam sua organização mais segura, não menos.

Recursos regulatórios e de orientação

O site Center for Internet Security exige que você permita o download de PDFs de orientação que variam de dispositivos Apple a dispositivos Cisco, firewalls a impressoras, uma vez que você forneça um endereço de e-mail e informações da empresa. Recomendo que, além de baixar as orientações, você se inscreva para participar da comunidade de benchmarks para poder tirar dúvidas e participar das discussões. Muitas vezes, nessas comunidades de referência, você encontra participantes com ideias semelhantes que podem ajudá-lo em seu projeto de conformidade.

Se você estiver investigando novas tecnologias e plataformas, esses documentos de referência podem ajudar seus projetos de implantação. O CIS inclui orientações para tecnologias como Apple macOS 12.0, Apple macOS 11.0 Big Sur, Apple macOS 10.15 Catalina, Apple macOS 10.14 Mojave. Se você está procurando orientação sobre as melhores práticas na implantação de desktops Apple, esses documentos o ajudarão na implantação inicial e na investigação de novas tecnologias.

A conformidade é um mandato necessário para quase todas as empresas de porte. Seu objetivo é encontrar o equilíbrio entre escolher a orientação certa e ainda adotar novas tecnologias que trarão mais segurança para sua empresa.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.