Fevereiro 28, 2021

Estou seguro e em conformidade? Ou só em conformidade?

Estou seguro e em conformidade? Ou só em conformidade?

Atualmente, faço parte da equipe de Risk & Compliance na IBLISS e trabalho diariamente para que a empresa e obviamente nossos clientes, alcancem a conformidade com as normas, melhores práticas do mercado e exigências de leis, como consequência da implementação de controles segurança da informação e proteção de dados.

Conformidade e Segurança muitas vezes são palavras usadas como se fossem sinônimos, mas não são. Afinal, uma empresa pode estar em conformidade, mas não segura. Vamos entender essa diferença:

  • Conformidade: é uma fotografia em um período específico que demonstra que os requisitos exigidos por uma determinada norma ou regulamento foi alcançado, por meio de uma auditoria, por exemplo.
  • Segurança: está relacionada a implementação e manutenção de controles físicos, técnicos e administrativos de forma contínua de maneira que os dados e informações estejam protegidas contra as ameaças que existem por ai.

Suponha que a "Empresa X" foi auditada no ano de 2020 no PCI DSS e ao final da auditoria conseguiu o certificado. Isso comprova que ela está em conformidade com o padrão, mas não garante que ela está segura, que algum tipo de incidente de segurança ou envolvendo dados pessoais não irá acontecer.

Um ano se passou desde da última auditoria e a "Empresa X" teve a sua rede invadida e consequentemente os dados de cartões de milhões de clientes roubados pelos cibercriminosos. O que aconteceu de errado, se ela estava em conformidade?

No jogo de cintura, a "Empresa X" conseguiu passar na auditoria, mesmo sabendo que a segurança havia sido deixada de lado em vários aspectos. Isso só nos mostra que a conformidade não garante a segurança, mas o contrário sim é verdadeiro. Afinal como já dizia o Jeremy Sporn:

Quando a segurança da informação é o seu objetivo, todo controle que você implementar, todo padrão ou auditoria que você se certificar ou passar demonstra realmente a sua capacidade de proteger os interesses dos seus clientes, parceiros, funcionários e demais stakeholders.
Mire a segurança e alcançará a real conformidade o tempo todo. Mire a conformidade e estará bem longe da segurança.

Fontes: pivotpointsecurity e Place your bet, Security or Compliance?