Header Ads

Home / Notícias / Como parar de ser oprimido por auditorias de segurança

Como parar de ser oprimido por auditorias de segurança

sexta-feira, março 05, 2021

Shutterstock / EtiAmmos

Obter a certificação em relação a um padrão ou em conformidade com a legislação de proteção de dados é sempre difícil. Manter os padrões pode parecer como se você estivesse em uma esteira de auditorias internas. Veja como evitar o esgotamento da auditoria interna.

Requisitos da Web de conformidade

Se a sua organização coleta, processa ou transmite dados pessoais, você deve cumprir a legislação de privacidade de dados. Pode ser legislação implementada pelo seu próprio governo ou pode ser legislação estrangeira, dependendo de onde os titulares dos dados — as pessoas cujos dados você &’ reprocessando — têm cidadania. É a cidadania dos titulares dos dados que dita quais regras e regulamentos de proteção de dados externos entram em vigor, não onde sua empresa está localizada.

Essa legislação pode se acumular em breve. Por exemplo, a legislação europeia de proteção de dados é o Regulamento Geral de Proteção de Dados. Se você processar quaisquer dados pessoais relacionados a cidadãos europeus, precisará cumprir o GDPR. O Reino Unido deixou a União Econômica Europeia em 31 de janeiro de 2021. A legislação de proteção de dados no Reino Unido agora é a Lei de Proteção de Dados do Reino Unido (2018) (DPA2018). O Capítulo Dois do DPA2018 contém uma versão ligeiramente modificada do EU GDPR. Portanto, se você processar dados pessoais de cidadãos britânicos, também precisará cumprir essa legislação.

Nos EUA, o California Consumer Privacy Act (CCPA) protege os dados pessoais e os direitos dos titulares dos dados de residentes da Califórnia. Nevada e Maine têm sua própria legislação em vigor, e muitos outros estados — Nova York, Maryland, Massachusetts, Havaí e Dakota do Norte entre eles — estão implementando ou considerando suas próprias leis de privacidade e proteção de dados.

Lembre-se de que não é onde você está que conta, é onde residem os titulares dos dados que determina se você deve levar em consideração as leis locais de proteção de dados. Existem exclusões para alguns deles, dependendo, por exemplo, do número de registros pessoais que você processa e da rotatividade de sua organização. Mas você ainda precisa revisar a legislação para ver se é obrigado a cumpri-la ou não.

Pode ser necessário cumprir outra legislação profissional ou específica do setor, como o Health Insurance Portability and Accountability Act (HIPAA), a Children &’ s Online Privacy Protection Rule (COPPA) ou o Gramm-Leach-Bliley Agir (GLBA).

Deseja processar pagamentos com cartão de crédito? Você precisa atender ao padrão de segurança de dados do setor de cartões de pagamento.

Então, existem padrões opcionais que você pode escolher adotar e seguir, como o padrão europeu ISO 27001, o padrão Cyber ​​Essentials do Reino Unido ou a Estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST) nos EUA Você pode ser obrigado a obter um desses se seu corpo profissional exigir, ou um cliente suficientemente grande exigir que seus fornecedores sejam certificados em um padrão de segurança cibernética reconhecido.

Muitas organizações adotam e funcionam voluntariamente de acordo com padrões como esses para que:

  • Beneficie-se da estrutura e governança que a estrutura fornecerá.
  • Para demonstrar que eles levam a segurança cibernética a sério e que os clientes &’ os dados pessoais serão devidamente protegidos.
  • Como um diferenciador de negócios ou como um “ eu também ”. Se todos os seus concorrentes tiverem uma certificação, você &’ precisará seguir o exemplo.
  • Permita que eles façam propostas para contratos governamentais, militares ou outros que exijam que as organizações licitantes atendam a padrões específicos.

De acordo com uma pesquisa conduzida pela empresa de segurança em nuvem Telos, uma organização média tem 13 padrões ou regulamentos diferentes de segurança e privacidade de dados para cumprir. Custa US $ 3,5 milhões a cada ano e consome 58 dias-homem por trimestre.

A roda do hamster da manutenção

O desenvolvimento de um conjunto de políticas e procedimentos é a primeira parte para alcançar a conformidade ou a certificação da legislação ou de um padrão de qualidade. A segunda é treinar e apresentar os procedimentos e processos à equipe. A etapa final é operar de acordo com essas políticas e procedimentos e manter o sistema.

O desenvolvimento e a implementação eventualmente chegam ao fim, assim como a maior parte do treinamento de conscientização da equipe. Os novos iniciantes receberão treinamento como parte de sua introdução, mas o treinamento para a equipe existente será eventualmente concluído. A manutenção do sistema nunca termina, entretanto.

Você deve:

  • Monitore as não conformidades e aja para retificar os processos ou treinar novamente a equipe para que a não conformidade não volte a ocorrer.
  • Verifique se seus funcionários estão seguindo o procedimentos e que uma trilha de auditoria adequada está sendo mantida.
  • Monitore a legislação e os padrões para mudanças e emendas, e atualize suas políticas e procedimentos de acordo.
  • Esteja ciente da nova legislação como ela é promulgada, geralmente em outras jurisdições, que pode afetar sua base legal para coleta, processamento ou transmissão de dados pessoais.

Com vários padrões ou conjuntos de legislação a cumprir, isso gera uma grande carga de trabalho. O ciclo de auditorias internas e ações corretivas pode ser uma tarefa em segundo plano em tempo integral. E, inevitavelmente, haverá muita sobreposição entre as diferentes estruturas e muita repetição no tipo de atividades necessárias para manter o que são efetivamente sistemas de gerenciamento de qualidade para privacidade e proteção de dados.

Isso pode fazer com que as auditorias sejam faladas e conduzidas como um aborrecimento que precisa ser feito o mais rápido possível, em vez de tão minuciosamente quanto justifica. O que você pode fazer para evitar o esgotamento da auditoria de conformidade?

Estabeleça um Registro de Controle Mestre

As diferentes legislações e padrões podem exigir soluções de tecnologia para alguns problemas — como firewalls e proteção de endpoint — mas a maioria de seus requisitos são controles obtidos por meio da governança. Esses são os controles e salvaguardas operacionais que precisam ser implementados por meio de políticas e procedimentos para garantir que cada cláusula ou seção da legislação seja tratada.

Crie uma lista de todos os controles de cada uma das estruturas que você precisa manter. Estabeleça o que cada controle está tentando alcançar. Eles terão nomes que variam de estrutura para estrutura, mas você pode identificar as duplicatas observando o que elas estão controlando. Em cada caso, escolha a versão mais rigorosa desse controle e adicione-a a uma nova lista.

Essa nova lista formará uma linha de base que você pode auditar. Se sua auditoria interna for aprovada e você estiver auditando os controles de sua lista principal, uma auditoria de cada estrutura individual também será aprovada. Uma estrutura como os controles de segurança e privacidade do NIST para sistemas de informação e organizações pode ajudar a criar sua lista principal de maneira formal e auditável.

A frequência de sua auditoria deve ser definida pela estrutura que requer as auditorias mais frequentes. Você poderá gastar menos tempo fazendo auditoria, sabendo que todas as estruturas são cobertas em uma única auditoria.

Recursos para auditorias internas

As auditorias internas não prendem apenas aqueles que realizam as auditorias e examinam os resultados. Chefes de departamento, líderes de equipe ou seus representantes designados se envolvem em encontrar e fornecer evidências para provar aos auditores que todos os procedimentos obrigatórios estão sendo seguidos. Uma equipe de auditoria dedicada e devidamente capacitada remove esse fardo dos outros.

Você não quer que eles sejam vistos como a polícia secreta de auditoria. Será muito mais produtivo se eles forem vistos como uma unidade colaborativa que está aqui para remover os pontos problemáticos da auditoria. Se uma evidência não puder ser localizada ou for insuficiente, a equipe de auditoria precisa registrar o incidente, mas também ajudar a corrigir o problema. Com o tempo, você descobrirá que eles estão em uma posição ideal para se tornarem defensores da auditoria e defenderem os padrões de segurança e a legislação de conformidade em sua organização.

Muitas organizações não conseguem justificar uma equipe dedicada, é claro. Freqüentemente, a responsabilidade pode ser compartilhada entre uma seleção adequada de funcionários, como um complemento à sua função principal.

Outra opção é terceirizar suas auditorias internas. Isso pode parecer uma contradição em termos, mas pode ser uma solução simples. Você deve localizar auditores que estejam familiarizados com cada uma das estruturas com as quais você precisa estar em conformidade e que entendam que eles realizarão auditorias internas em relação à sua lista de controle principal.

Por serem uma entidade externa, eles não terão o acesso à rede e outros privilégios que uma equipe interna teria. No entanto, é improvável que sejam capazes de ajudar a corrigir problemas ou auxiliar na melhoria das evidências de baixo grau. No entanto, precisamente por serem uma entidade externa, podem ser levados mais a sério por outros funcionários.

Um mal necessário

O esgotamento da auditoria afeta tanto os auditores quanto os auditados. O uso de uma lista de controle mestre para a auditoria permite que você audite os requisitos mais rigorosos de todas as suas estruturas e, ao mesmo tempo, reduza a sobrecarga de auditoria. Também garante que você esteja sempre pronto para auditorias anuais e inspeções pontuais.

Nenhum comentário

Assinar: Postar comentários ( Atom )