Compliance não significa Segurança

Ainda que uma empresa esteja totalmente em compliance com as normas e leis, ela pode estar completamente suscetível a ataques de criminosos cibernéticos. Como por exemplo a empresa varejista Target Corporation, em 2013, quando dados referentes às contas bancárias dos clientes foram vazados por um invasor e foi gerado um prejuízo de aproximadamente $18 milhões. A situação foi agravada pelo fato de que a empresa obteve a certificação PCI no mesmo ano.

Nesse contexto, compliance trata de documentar quais foram os comportamentos indesejados a fim de que seja possível punir os transgressores e corrigir os problemas. No entanto, sob o ponto de vista da segurança, torna-se difícil contornar tal situação uma vez que os dados dos clientes tenham sido roubados por um criminoso. Foram estabelecidas, então, três medidas provisórias para desenvolver nas empresas uma abordagem cujo foco esteja sobre a proteção dos usuários ao invés dos procedimentos burocráticos:

 

Regulamento Prescritivo

É comum que as regulamentações atualmente empregadas falhem em determinadas perspectivas. As regras não são aprofundadas o suficiente de acordo com a rápida evolução da tecnologia; há uma falha ao utilizar explicitamente novas técnicas que estejam sendo desenvolvidas ou recomendações feitas para medidas de proteção e muitas documentações não contemplam manobras como ransomwares e criptojackers. O escopo das regulamentações, por sua vez, geralmente não cobre as empresas como deveriam, os regulamentos não costumam exigir tecnologias para controle de acesso ou artefatos de registro.

 

Investigação Regular

A segurança deve ser uma prática rotineira e a diretoria deve ser a responsável por isso. É importante haver uma declaração regular assinada pelos executivos seniores que descreva detalhadamente os incidentes de segurança sofridos pela empresa e quais foram as suas consequências. Além disso, essas informações precisam ser registradas publicamente, quaisquer resoluções de ações judiciais fora do tribunal com o objetivo de conter notícias sobre a falha podem gerar ainda mais divergências.

 

Ciclo de Melhoria

Ao passo que novas ameaças surgem, é vital que os profissionais usem as técnicas desenvolvidas para mitigá-las com objetivo de buscar continuamente a atualização das regulamentações internas. Dessa forma, as políticas passam a estar em conformidade com o ambiente no qual se encontram, diminuindo a lacuna entre compliance e segurança.

É de vital importância que haja uma mudança na cultura das empresas para que os dados de milhões de clientes não caiam nas mãos de cibercriminosos. Confira mais a respeito na publicação da Forbes.