ISO 27001, PCI-DSS e GDPR: sopa de letrinhas dos padrões de segurança é destaque no 13o. SegInfo

Por André Machado

Combater ameaças e proteger de maneira contínua e em tempo real os ambientes corporativos num universo crescente de dados digitais, a grande maioria online, é fundamental para manter uma economia saudável, tanto virtual como fisicamente. Mas outra parte essencial desse processo é obedecer às normas e padrões internacionais de segurança e compliance, que homogeneizam e regulam o ambiente de negócios e permitem transações verificáveis e auditáveis. Na 13a. Edição do SegInfo, no Rio de Janeiro, esse foi o assunto da apresentação de Rafael Barros, consultor da Clavis para normatização e compliance.

Barros começou enfatizando o papel dos executivos, os usuários número 1 das empresas e tomadores de decisão, para exercer uma governança definitiva sobre a segurança e conformidade das informações que trafegam por suas redes.

– Eles são nossos maiores aliados nesse processo, porque não é só de tecnologia que você precisa entender, é preciso ter o conhecimento sobre a cadeia de valor da empresa, saber onde estão suas prioridades e onde estão seus maiores riscos – explicou.

Nessa seara, evitar a burocracia nos processos é muito importante, bem como fazer uma análise preventiva das falhas nos ativos para garantir a continuidade do negócio.

– Para assegurar a conformidade com as normas e padrões, deve-se mapear os principais desafios, mostrar às pessoas as diferentes formas de proceder corretamente, e gerar evidências contínuas sobre o estado do ambiente corporativo. Tais evidências têm de ser perfeitamente auditáveis, e precisam ser apresentadas nos prazos definidos

Para ver mais fotos do evento, clique na imagem acima.

ISO 27001

Três normas cruciais foram abordadas no evento. A primeira, a ISO 27001, foi criada para estabelecer um modelo de implementação, operação e análise crítica dos sistemas de gestão de segurança da informação num ambiente corporativo.

– Em suma, é usada para certificação de boas práticas na área de gestão de segurança (o conjunto dessas boas práticas é definido na ISO 27002, sua “irmã”). A vantagem da ISO 27001 é que ela é mais genérica – explanou Barros. – Diz o que você deve fazer, mas não o obriga a seguir um procedimento específico. É mais aberta, serve para todo mundo e tem implementação mais versátil. Por exemplo, na gestão de incidentes, permite à empresa escolher se vai fazê-la com um SIEM (sistema de Gerenciamento de Informações e Eventos de Segurança) ou com um sistema mais simples.

 

A norma também diz que você deve ter uma política de melhoria contínua, mas o prazo para tal fim é o usuário corporativo que decide. E é aplicável a empresas de qualquer setor – tecnologia, varejo, e-commerce, defesa etc. É adaptável a todo tipo de indústria ou serviço.

PCI-DSS

Já a norma PCI-DSS é bem mais específica. Ela foi criada para proteger os dados de um portador de cartão de pagamento (débito ou crédito). A sigla significa, em inglês, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento.

– Ela é bem concentrada nesse quesito de segurança, não nos demais. O mundo pode acabar, mas se os dados dos cartões estão seguros, tudo bem para a PCI-DSS – exemplifica Barros. – De modo que, para proteger esses dados tão sensíveis, a gestão de segurança da empresa precisa reduzir drasticamente o escopo de acesso a onde se guardam as informações relativas aos cartões… e então reduzir o escopo de novo. Deve-se eliminar tudo que não for essencial para resguardar esse local: tecnologias, transmissões, processos, acessos de pessoas etc.

Rafael Barros

O padrão verifica todos os locais por onde o dado do cartão trafega, daí ser necessário restringir esse trajeto ao máximo. Barros conta que muitas vezes é preciso reorganizar toda a forma de a empresa trabalhar para que fique em conformidade com a PCI-DSS.

– Certa feita precisamos criar uma segunda empresa, bem mais enxuta, só para abrigar os dados de cartões, enquanto as outras formas de pagamento ficavam na empresa original – lembra. – Nesse padrão, ou você está 100% compliant ou não está. Não há “jeitinho”. Diferentemente da ISO 27001, ele lhe diz exatamente o que fazer e como fazer. E a segregação de funções no ambiente ligado a esses dados tem que ser total.

GDPR

Por sua vez, a GDPR, norma programada para entrar em vigor no dia 25 de maio de 2018, estabelece padrões para proteger a privacidade de dados de cidadãos da União Europeia. (A sigla quer dizer Regulamento Geral de Proteção de Dados, em inglês).Portanto, qualquer empresa brasileira cujos negócios envolvam operações na Europa estará sujeita a ela.

– A GDPR dá poder às pessoas para decidirem o que deve ser feito com suas informações privadas – disse Barros. – E é extremamente detalhada, cobrindo desde endereços, telefones, dados profissionais e outros até afiliações religiosas e gastos pessoais. Gere inclusive o direito de ser esquecido, a permissão de uso de dados por terceiros e assim por diante.

As empresas precisam se preparar para a nova norma, que, se desobedecida, poderá gerar multas de até 20 milhões de euros, alerta o especialista. Precisarão adaptar suas relações com os cidadãos europeus, permitindo que controlem o uso de suas informações pessoais pela rede da empresa. E devem estabelecer prazos para que possam cumprir as diretrizes dessas pessoas.

De acordo com Barros, não será fácil a adaptação para as empresas brasileiras, porque a GDPR (assim como a PCI-DSS) exige a segregação de funções para sua implementação correta: ou seja, diferentes pessoas dedicadas a diferentes grupos de processos.

– Por exemplo, quem autoriza não pode executar, quem executa não pode auditar – exemplifica. – Isso, para a cultura das empresas brasileiras, é bem complicado, porque estamos acostumados a ser multitarefa: chutamos, cabeceamos, fazemos o passe e defendemos. É da nossa natureza, uma característica cultural. Para seguir as normas, será preciso pensar bem o orçamento e os investimentos. Sistemas precisarão ser reescritos, readaptados, para perguntar ao usuário europeu o que deseja fazer com seus dados.

E nem adianta pensar em terceirizar os trabalhos para cumprir as exigências do GDPR: mesmo que eles sejam delegados a uma empresa parceira, a empresa original a quem os dados foram confiados será responsabilizada por qualquer perda ou vazamento.

A metodologia da Clavis ajuda a preparar o ambiente corporativo para ficar em conformidade com todos os padrões, fazendo análises do ambiente, adequando processos, qualificando pessoas e definindo as tecnologias certas para cada caso. Com testes e ajustes, explica Barros, é possível eliminar redundâncias na gestão do ecossistema de segurança e obter integração entre os padrões – prevendo como e quando deverão ser utilizados.

– Fazemos treinamentos operacionais e temos apoio de hackers éticos, que nos ajudam a otimizar o processo. Com isso, garante-se o compliance e o retorno dos investimentos.

Rafael Barros (Esquerda), Rafael Soares (Meio), Davidson Boccardo (Direita)

A palestra de Rafael Barros, a última do dia, gerou muito interesse dos presentes, que procuraram se informar sobre os padrões, especialmente o GDPR. Foi um encerramento auspicioso, que prenuncia novas oportunidades de atualizações nas próximas edições do SegInfo.

Para saber mais detalhes sobre a 1ª Parte do SegInfo 2018, acesse nosso artigo Décima-terceira edição do SegInfo apresenta as últimas novidades e tendências de segurança nas empresas.

Para saber mais detalhes sobre a 2ª Parte do SegInfo 2018, SIEM e gerenciamento contínuo de vulnerabilidades: carros-chefes do 13º SegInfo, no Rio.