O difícil equilíbrio entre compliance e segurança

Na verdade, segurança baseada em compliance raramente fornece proteção efetiva contra determinados tipos de ataque. Isso ficou claro no caso de recentes brechas das varejistas Target, Neiman Marcus e Michaels Stores.

Requerimentos de compliance como Payment Card Industry (PCI) Data Security Standard (PCI/DSS) dão a ilusão de uma razoável segurança. Não estou querendo dizer que esses requisitos não reduzem o risco ? porque certamente eles o fazem. Eles são meramente incompletos porque eles falham em prover flexibilidade ou os meios de ajustar-se de acordo com as verdades necessidades de segurança do negócio. Uma informação efetiva sobre ambos os riscos enfrentados pela companhia e a vertical de mercado que a empresa está.

Segurança é simplesmente outro risco de negócio, como mercado e riscos de clientes. O risco, por sua natureza, nunca é preto no branco. É cinza. Ao lidar com decisões de risco, executivos precisam olhar às melhores informações que podem encontrar e tomar a decisão mais razoável possível, dadas as situações atuais. E aqui a palavra ?razoável? é a pedra angular não apenas das operações de negócio, mas também da lei ocidental, fundada no padrão de ?pessoa sensata?.

E o que tudo isso quer dizer no contexto da TI corporativa é a resposta à questão: A organização tem feito o que uma pessoa sensata faria para proteger sua informação sensível? Decisões recentes em tribunais americanos claramente demonstram que simplesmente alcançar requisitos de compliance da indústria, como PCI, é insuficiente para atingir os padrões razoáveis. Os tribunais querem saber se as corporações têm feito o que é sensato para suas companhias ou indústrias, versus simplesmente cumprir um pré-requisito de compliance.

O desafio para profissionais de segurança é como preencher essa lacuna. Há uma maneira de combinar a flexibilidade da ISO 27000 com os requisitos rígidos de PCI? Muitos CSOs enfrentam duas diretivas conflitantes: adotar o framework do ISSO 27000 e melhorar o compliance PCI. O primeiro é desenhado como um framework de segurança ? planeje, faça, cheque e aja ? baseado no trabalhado do consultor e estatístico Edwards Deming. É feito para ser uma evolução constante e um padrão em aprimoramento.

PCI, por outro lado, é atualmente um subset dos controles de segurança do ISO 27000 focado na zona de pagamento de cartões de crédito, geralmente definido como qualquer lugar em uma rede onde a informação de cartão de crédito trafega ou é armazenada. A resposta para conectar esses dois pontos parece residir nas origens da PCI. Desde quando a PCI começou com controles de segurança ISSO 27000, então por que não simplesmente cruzá-los um com o outro?

A ISO 27000 quebra a segurança da informação em dez áreas de focos e a coloca em entre quatro e 14 camadas. Cada um desses múltiplos controles de segurança proveem diretrizes específicas para redução de risco no perfil da organização. Eles incluem:

– Avaliação de risco

– Política de segurança

– Organização da segurança da informação

– Gestão de ativos

-Segurança de RH

– Segurança física e de ambiente

– Gestão de comunicação e operação

– Controles de acessos

– Aquisição de sistemas de informação, desenvolvimento e manutenção

– Gestão de incidentes de segurança da informação

– Gestão de continuidade de negócio

A PCI também tem duas seções de compliance: controles tecnológicos e administrativos. Enquanto a ISO 27000 faz muito pouco para alcançar os requerimentos administrativos da PCI, ela se alinha muito bem com os controles tecnológicos em torno da zona de pagamento da PCI. Assim, os controles impostos na rede, vindos da ISO 27000, também podem ser aplicados para aquelas que seguem o PCI. Simplesmente adicione a PCI como 11ª categoria ao framework do ISO 27000 (categoria 15) e faça a referência cruzada dos requisitos para itens como segurança física, anti-vírus, uso de wireless e desenvolvimento de software com aquelas da PCI.

Isso permitirá uma organização lidar com a flexibilidade da ISO 27000 e ainda assim alcançar os requisitos da PCI. Pode não ser um casamento perfeito, mas certamente melhorará a instância da segurança da sua companhia.

*Tom Bowers tem 30 anos de experiência em TI e segurança.