Como aprendi a parar de me preocupar e amar a conformidade
No mundo de hoje, a conformidade é essencial. Manter a confiança e aumentar a reputação de uma empresa não é negociável e estão intimamente ligados aos padrões de segurança cibernética. No entanto, a conformidade, provavelmente em todas as nossas experiências, não é o programa mais fácil de criar e manter. Como líderes de segurança, precisamos saber como cumprir uma gama cada vez maior de regulamentações, leis e padrões, a maioria dos quais parecem incompatíveis. Essa complexidade faz com que alcançar, manter e comprovar a conformidade pareça um fardo.
Na Cloudflare, dedicamos recursos significativos para entender os requisitos de conformidade, implementar os processos e controles de segurança corretos, monitorar mudanças em nosso ambiente e conduzir avaliações que demonstrem nossa conformidade. Em um momento anterior da minha carreira, eu teria visto esse esforço como um fardo. No entanto, depois de 20 anos em segurança cibernética, finalmente parei de me preocupar e aprendi a amar a conformidade pelo que ela nos permite realizar como comunidade, não pelo que nos tira.
Fonte da imagem: Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb
Reunindo a conformidade com uma abordagem de segurança baseada em resultados
A falha em compreender a importância da ameaça à segurança cibernética durante muito tempo, levou a um mundo que normalizou a dependência de tecnologias basicamente inseguras. Velocidade e custo, por muito tempo, superaram os valores de segurança e privacidade. Isso foi uma falha de política, de gerenciamento, de capacidade e, acima de tudo, uma falha de imaginação.
No Departamento de Defesa e na Agência de Segurança Nacional, focamos muito na “missão”, que para muitos é uma abordagem baseada em resultados para resolver problemas críticos. Isto implica, erroneamente, em desconsiderar a conformidade em favor de um ataque com todas as forças. Na minha experiência, esse nunca foi o caso. Resultados e conformidade sempre foram caminhos paralelos que levam à redução do risco operacional, bem como a um melhor pensamento e mais criatividade.
Nós, líderes de segurança cibernética, temos a responsabilidade de alinhar política e estratégia como ponto de partida fundamental para aprimorar a segurança, criar confiança e estabelecer novos relacionamentos. Se adotarmos essa abordagem, podemos aplicar soluções orientadas por missão para os problemas de proteção de dados do usuário, segurança da propriedade intelectual, prevenção de roubo financeiro e, em alguns casos, prevenção de danos físicos.
Aumentar a conformidade para fortalecer a segurança
É difícil construir confiança e fácil perdê-la. O descumprimento dos regulamentos pode significar multas, claro, mas também a perda do crédito e da confiança de clientes e parceiros.
Todos sabemos que os requisitos de conformidade geralmente criam exercícios de verificação de caixa em vez de redução do risco operacional. Por esse motivo, vejo a prática da segurança cibernética em campos altamente regulamentados e altamente direcionados, como saúde, serviços financeiros e segurança nacional, como um modelo forte para todos nós. Em campos como esses, as organizações fazem mais do que apenas marcar caixas: elas se submetem, voluntariamente, a padrões ainda mais elevados do que os exigidos pelas regulamentações.
Nosso trabalho de segurança começa quando atendemos aos padrões. Como ferramenta, a conformidade nos permite expressar nosso trabalho, olhar em volta e ver em quem podemos confiar e começar a enfrentar o trabalho árduo de eliminar ameaças. Muitas vezes ouvimos que um relatório de SOC ou certificação ISO deve impedir as violações, mas as violações ainda acontecem. Por quê? A resposta é que a conformidade com estruturas e padrões é apenas uma maneira de reconhecermos quando algo está errado mais cedo. Ela nunca será uma forma de as empresas ou equipes prevenirem incidentes e exposição. Isso requer uma abordagem ainda mais abrangente para a segurança cibernética, baseada em controles técnicos.
Na Cloudflare, cumprimos os principais regulamentos e padrões e conquistamos várias certificações importantes. Adotamos a conformidade pelas oportunidades que ela pode criar. Mas não paramos por aí. Continuamos focados em nossa missão de construir uma internet melhor e mais segura. Vamos além da conformidade implementando recursos avançados de segurança que vão manter nossos negócios, nossos parceiros e nossos clientes seguros. A Cloudflare foi criada para ajudar você e seus clientes a ficarem mais seguros na internet. Conheça as certificações que nos ajudam a preservar essa segurança.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Autoria
Oren Falkowitz — @orenfalkowitz
Diretor de segurança, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Como ver a conformidade como um facilitador e não um fardo
Estruturas e padrões nunca vão eliminar incidentes ou exposição
A implementação de segurança avançada, além da conformidade básica, manterá negócios, parceiros e clientes seguros