Você sabia que a página 462 do padrão de segurança de dados NIST 800-53 tem 206 controles com mais de 400 sub-controles? A propósito, você pode conferir a versão formatada do XML aqui. O PCI-DSS não é tão complicado, mesmo com centenas de sub-controles em seus documentos e requerimentos. E então temos o padrão de dados IS0 27001, que tem ganhado muito espaço no mercado.
Não vamos nos esquecer dos frameworks de segurança, como o COBIT e o NIST CSF, que são tipos de meta-padrão que mapeiam outros controles de segurança. Para empresas do setor de saúde e financeiro que estão sujeitas as regras de segurança de dados dos Estados Unidos, as regulamentações de dados HIPAA e GLBA também precisam ser consideradas. E se você está envolvido com o mercado europeu, existe a GDPR; no Canadá, a PIPEDA; no Brasil, as regras definidas pelo Marco Civil da Internet, e por aí vai.
Existem complexidades legais e técnicas suficientes para manter equipes de TI, profissionais de segurança, advogados de privacidade, auditores e diplomatas ocupados para sempre.
Conheça todos esses padrões e regulamentações citadas acima. E não sou o primeiro a notar o óbvio: os padrões de segurança de dados acabam sendo muito parecidos.
Conexões de controle de segurança
Se você conhece ou já implementou uma conexão de controle de segurança, é bastante provável que você tenha familiaridade com outras também. De fato, há uma boa razão para ter frameworks. Por exemplo, com o NIST CSF é possível alavancar seu investimento em ISO 27001 ou ISO 62443 por meio de mapas cruzados de controle de matriz.
Podemos concordar que a maioria das empresas vai achar impossível implementar todos os controles em um padrão de dados comum com o mesmo nível de atenção— quando foi a última vez que você checou os logs de acesso físicos em seu transmissor de dados (NIST 800-53, PE-3b)?
Então, para deixar o trabalho mais simples para as empresas, alguns dos grupos de padrões criaram novas diretrizes que rompem uma grande lista de controles para metas possíveis.
O grupo PCI tem uma abordagem prioritária para lidar com o seu DSS—eles têm seis requisitos práticos que devem ser quebrados dentro de um pequeno subconjunto de controles relevantes. Eles também têm um guia de boas práticas que abordam – e isso é importante – controles de segurança em três amplas áreas: avaliação, remediação e monitoramento.
O NIST CSF, que, em si, é uma versão reduzida do NIST 800-53, tem uma quebra de controles similar em categorias amplas, incluindo identificação, proteção e detecção. Se você observar profundamente os controles de identificação do CSF, que, majoritariamente, envolve o inventário dos seus dados, os recursos do TI e sistemas, verá que o principal objetivo nessa área é avaliar os riscos de segurança dos dados que você coletou.
Risk Assessments baseados em arquivos
Acredito que o conjunto avaliação, proteção e monitoria é um bom modo de organizar e observar qualquer padrão de segurança de dados.
Lidando com esses padrões de dados, empresas podem também seguir esses controles com base no que sabemos sobre os tipos de ameaças que aparecem em nosso mundo – e não naquele padrão antigo de dados que os autores se basearam quando criaram os controles.
Estamos em uma era de hackers minuciosos, que entram em sistemas sem serem percebidos, muitas vezes por e-mails de phishing, utilizando credenciais roubadas ou vulnerabilidades do tipo zero-day. Uma vez dentro da rede, o cibercriminoso pode explorar a base de dados de uma empresa fora do radar de monitoramento com técnicas livres de malware, encontrar informações valiosas e roubá-las.
Sem dúvidas, é importante avaliar, proteger e monitorar a infraestrutura de rede, mas essas novas técnicas de ataque sugerem que o foco deveria estar dentro da empresa. As organizações deveriam trabalhar duro para tornar o trabalho do hacker muito mais difícil e conseguir identificar e deter ataques o mais rápido possível.
Quando procurar aplicar um controle de segurança de dados comum, pense em sistemas de arquivos. Para o NIST 800.53, isso significa explorar todo o sistema de arquivos, procurando por dados sensíveis, examinando listas de controle de acesso ou permissões e então avaliar os riscos (CM-8, RA-2, RA-3). Para se proteger, é preciso reorganizar os grupos do Active Directory e refazer as listas de controle de acesso a fim de torná-las mais exclusivas (AC-6). Para detectar um ataque, é preciso monitores acessos incomuns ao sistema de arquivos que indicarem que um hacker está utilizando a credencial de algum funcionário (SI-4).