Perda de Dados, Incidentes Internos, Erro Humano, Custos e Complexidade
Somente no ano passado, houve o registro de 2.164 incidentes envolvendo perda de dados. De acordo com um relatório da Risk Based Security e Open Security Foundation, 72% dos invasores externos estiveram envolvidos, enquanto 25% das ocorrências foram classificadas como incidentes internos, embora este último seja atribuído principalmente ao erro humano e acidentes, ao invés de serem resultantes de más intenções.
No entanto, muitas vezes por razões de custo e complexidade - muitas soluções de compliance off-the-shelf disponíveis no mercado hoje em dia, ainda precisam provar o seu nível de eficácia, sob um ponto de vista financeiro, melhor dizendo, se o ROI (Return on Investment) seria justificado de forma plausível. Ao invés disso, as empresas geralmente optam por cumprir as suas obrigações de conformidade, desenvolvendo seus próprios métodos - muitas vezes envolvendo questionários spreadsheet (planilhas) - para gerir programas de compliance, como PCI DSS.
Padrão PCI DSS, Violação de Dados da Target, Processos de Auditoria e Relatórios de Compliance
Embora não haja nada de errado com o padrão PCI DSS como um método controlador, isso é pouco mais do que o mínimo que uma organização deve se propor a atingir. Ele não deve ser um substituto para práticas de segurança no modo Business-as-usual (BAU). Uma das maiores histórias de violação de dados que ocorreu em 2013, foi a que envolveu a empresa varejista norte-americana Target, onde os dados pessoais de cerca de 110 milhões de clientes teriam sido acessados e divulgados, o que causou um grande alvoroço.
Não está claro se a Target estava em conformidade com o PCI DSS no momento em que foi violada, mas estatisticamente, as chances de que ela não estaria são grandes. De acordo com o Relatório de Conformidade PCI 2014 divulgado pela Verizon, apenas 11,1% das empresas no mundo fizeram adesão total em 2013. Além disso, o processo de conformidade com o PCI DSS é baseado em uma única avaliação a cada ano.
Essa avaliação representa uma situação temporal, um veredito que precisa ser dado em um único ponto durante um período de doze meses. Ele não é uma garantia de cumprimento até mesmo para o dia seguinte e muito menos por qualquer período de tempo duradouro. Além de tudo, existe uma abundância de evidências que mostram que muitas violações de dados ocorrem em algum momento depois de uma auditoria do PCI DSS, que tenha sido muito bem sucedida.
Rigor e Expansão nos Processos de Auditoria
Uma possível razão para isso retornará para o spreadsheet (planilha de controle). Nesse contexto, existe toda uma versatilidade, que simplesmente faz parte de um processo em sua grande parte, manual. Em uma auditoria de conformidade em grande escala, essas planilhas passam por todos os tipos de programas internos e departamentos como Recursos Humanos, Finanças ou de TI, por exemplo. Dessa forma, é quase impossível avaliar o estado geral de um programa de larga escala sem que haja uma análise longa e minucioso de centenas de respostas completas.
Além do mais, os processos de compliance de risco pessoal qualificado acabam sendo sobrecarregados, devido a administração de processo manual e assim, obtem uma perspectiva insuficiente sobre as tendências e anomalias para apoiar decisões de negócios. Esta ausência de automação em uma abordagem baseada em planilhas é o seu "calcanhar de Aquiles". A falta de obrigação compartilhada ou do esforço da equipe aumenta toda a carga de responsabilidade pela obtenção de resultados, relacionada ao responsável pelas políticas de conformidade.
Ao mesmo tempo, aos destinatários do questionário é informado que que eles precisam arcar com essas responsabilidades, embora eles não possam compreender, totalmente, a criticidade dos dados que eles fornecem. Enquanto isso, na medida em que os seus gerentes estão preocupados, isso torna-se apenas mais um trabalho que precisa ser feito; não há nenhuma visibilidade central do estado dos processos de auditoria e muito pouco controle sobre o processo de conformidade. Em suma, há toda uma necessidade de priorizar as questões de segurança, através de um trabalho sério, constante e com total comprometimento.
Organizações Precisam de Soluções com Simplicidade e Praticidade
Nem sistemas em modo off-the-shelf e nem home-grown são capazes de atender o que as organizações precisam com maior urgência - ou seja, uma solução de fácil implementação que suporta os processos existentes (ao invés de aplicar uma re-engenharia), contando com análises construídas para permitir uma tomada de decisão bem informada, com base nas exposições da empresa ao risco. Com o aumento nos percentuais de violações de dados, há um destaque para as organizações do século 21: elas precisam de algo bem melhor do que simples planilhas para gerenciar seus processos de segurança.
Na experiência do executivo, as organizações encontram padrões como PCI, em um cenário muito mais fácil de cumprir com as partes interessadas, sendo capazes de colaborar em um processo orientado para o controle centralizado. Isso oferece o benefício imediato de ajudar as organizações a automatizar o processo de auditoria. Além disso, isso dá-lhes também uma maneira fácil de devolver a responsabilidade para completar questionários ou seções de questionários para os mais qualificados, com a intenção de fornecer as respostas e centralizar a coleta de provas.
A capacidade de preencher a lacuna de informação entre sistemas de conformidade home-grown e off-the-shelf, é uma virada de jogo real. Isso dá às organizações uma visibilidade imediata e maior controle sobre seus programas de conformidade, que os ajuda a satisfazer as suas exigências atuais e faz responder a futuras alterações de forma muito mais fácil.
Considerações Executivas
Em conclusão, Richard acredita que uma abordagem em modo Business-as-Usual para a segurança da informação, é um fator essencial. Além disso, uma abordagem baseada em nuvem pode tornar a transição dos processos existentes simples e extremamente rentável. Além de tudo o que foi mencionado, melhorar a segurança da sua organização é a melhor maneira de protegê-la contra violações de dados, e evitar transtornos que surgem como consequências desses atos. Uma abordagem contínua para as práticas de compliance deve ser colocada no centro do programa de conformidade, ao invés de confiar simplesmente em uma auditoria anual, onde a atividade de controle é executada e monitorada durante todo o ano civil.
Esta abordagem fornece maior e melhor visibilidade em tempo real do status de conformidade da organização - o que traduz uma situação em que mais comerciantes incorporem conformidade com o PCI DSS em suas práticas de BAU e tragam progressos importantes e melhor postura de segurança para a organização.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1993&p=2