Padrões e regulamentos da Infosec – uma conformidade de classificação de primers

Categorizar os padrões e regulamentos da InfoSec em diferentes grupos pode parecer bobo no início, já que dar vida a um conjunto escrito de diretrizes e regras não é algo que pessoas sérias realmente fazem. No entanto, cada categoria apresenta um conjunto de características que auxiliam na definição das personalidades dos alunos. Na verdade, vários sites online diferentes já agruparam celebridades, personagens de Game of Thrones e políticos em seus próprios grupos. Embora os padrões e regulamentos da InfoSec não tenham personalidade, as organizações que os desenvolvem têm.

A conformidade da Infosec não possui a hierarquia rigorosa pertencente a outros campos de conformidade. Em alguns casos, os padrões e regulamentos da Infosec servem como sugestões e orientações de colegas. Mesmo assim, a crescente atenção do cliente transformou uma parte significativa desse assunto em conformidade, sendo um aspecto de vendas fundamental para a receita. No entanto, organizar esses padrões e regulamentos da InfoSec em um guia mais amplo pode ajudar na negociação do espaço de conformidade em constante mudança.

Concentrar-se em organizações que exalaram determinação, bravura e coragem no mundo dos padrões e regulamentações da InfoSec implica olhar para entidades que parecem estar liderando a carga de segurança em uma tentativa de aprimorar a segurança cibernética no mundo. Eles incluem:

• OWASP: O Open Web Application Security Project foi estabelecido em 2001 para operar como uma comunidade global aberta que permite que as organizações operem, adquiram, desenvolvam, concebam e mantenham aplicativos confiáveis. Mesmo projetando mais recursos e menos compliance, o OWASP merece um lugar nessa lista graças ao seu heroico esforço de inovação da indústria, que oferece orientação aos membros. Além disso, parece ser uma organização cujos principais objetivos se sobrepõem principalmente aos objetivos tradicionais de conformidade estabelecidos por organizações mais formalizadas.
• NIST : Também conhecido como Instituto Nacional de Padrões e Tecnologia, o NIST publica sua respeitada estrutura de segurança cibernética sem nenhum custo. Tanto o NIST 800-53 quanto o Cybersecurity Framework ajudam a fornecer às organizações uma técnica para começar a organizar suas melhores práticas sem ter que gastar dinheiro automaticamente. Projetado para proteger a segurança cibernética, o site do Instituto Nacional de Padrões e Tecnologia fornece uma ferramenta de referência gratuita, que representa o Framework Core, um grupo de práticas, diretrizes e padrões do setor.
• Security Policy Framework Reino Unido : A Profissão de Segurança do Governo, Segurança Nacional e Inteligência e o Gabinete do Reino Unido publicaram este documento de onze páginas para ajudar a orientar a proteção dos bens do governo. Ele inclui vinte requisitos obrigatórios que são categorizados em sete áreas-chave de segurança pessoal, marcação de proteção e controle de ativos, continuidade de negócios, combate ao terrorismo, segurança e garantia da informação, segurança física e governança, gerenciamento de riscos e conformidade.
• COBIT : A Associação de Auditoria e Controle de Sistemas de Informação está por trás da criação da estrutura de Objetivos de Controle para Tecnologia Relacionada à Informação (COBIT). A estrutura funciona como uma ferramenta que ajuda a preencher as lacunas que existem entre questões técnicas e requisitos de negócios em uma tentativa de garantir que os controles sejam mapeados adequadamente. É importante ressaltar que o COBIT atua como uma ferramenta para modelagem baseada em processos.

Além disso, a estrutura fornece modelos de maturidade para avaliar as mudanças necessárias à medida que as empresas crescem. Ele faz isso dividindo trinta e quatro processos em quatro domínios específicos de monitoramento e avaliação, aquisição e implementação, organização e entrega e suporte.

• ISO : A ISO ou a Organização Internacional para Padronização oferece alguns dos padrões mais frequentemente cumpridos e reconhecidos. A conformidade com a ISO/IEC/27000, juntamente com seus padrões associados, lidera a tarefa, principalmente para aqueles que adotam os padrões e regulamentos da InfoSec. Sendo a maior especialista em segurança da informação, a ISO aproveitou esse atributo para se apresentar como uma empresa contínua com uma ambição impressionante.
• HITRUST : Fundada em 2007, a Health Information Trust Alliance (HITRUST) ajuda a proteger as informações do paciente. Seu modelo visa construir linhas de base em todo o setor de saúde, que podem ser aplicadas às empresas com base em sua maturidade e risco. A HITRUST avaliou o setor de saúde e decidiu que apenas certos riscos eram prováveis ​​para seus membros, em vez de começar com riscos e construir controles como respostas a tais riscos. Ao fazer isso, seu modelo permite que as entidades cobertas pela HIPAA personalizem seus programas por meio do modelo Common Security Framework.
• HIPAA : O Health Insurance Portability and Accountability (HIPAA) de 1996 instou o Secretário de Saúde e Serviços Humanos a implementar regulamentos de privacidade destinados a proteger informações de saúde que fossem individualmente identificáveis. Além disso, os Padrões de Segurança da HIPAA trazem um requisito regulatório pelo qual as empresas sob sua alçada criam procedimentos administrativos destinados a proteger e gerenciar a proteção de dados, serviços técnicos de segurança que revisam o acesso às informações e mecanismos de segurança técnica que evitam a transmissão não autorizada de informações e salvaguardas físicas sobre sistemas de computador.
• GDPR : GDPR ou Regulamento Geral de Proteção de Dados da UE é conhecido por tornar a governança e a responsabilidade uma de suas principais diretrizes. Ele cria uma única coleção de regras que se aplicam a todos os membros. No entanto, ele expande o escopo para controladores de dados envolvidos na coleta de informações de residentes da União Europeia provenientes de residentes da UE. O que isso significa é que, mesmo sem estar na UE, uma organização que lida com informações de residentes da UE dessa maneira precisa estar em conformidade. O GDPR busca reduzir a quantidade de dados envolvidos, limitar o objetivo do uso de informações, determinar a justiça, a legalidade e a transparência da privacidade, reforçar a integridade e a confidencialidade das informações e limitar a quantidade de armazenamento que uma organização mantém em um indivíduo.
• SOX : A Lei Sarbanes-Oxley (SOX) foi promulgada em 2002 como uma resposta à ampla gama de relatórios fraudulentos corporativos. Embora a SEC tenha feito um trabalho louvável ao tratar da maioria das preocupações da SOX, a ganância corporativa resultou em várias empresas desrespeitando as leis. A SOX visa impor a ética a essas empresas por meio da criação de penalidades para aqueles que denunciar incorretamente. Além disso, a Seção 404 da SOX exige que as empresas avaliem seu ambiente de TI em uma tentativa de determinar se há riscos de relatórios financeiros (internos ou externos) e medidas que os tratem.
• PCI-DSS : PCI ou o Payment Card Industry Security Standards Council foi organizado por várias entidades financeiras, incluindo Visa, Mastercard, JCB International, Discover Financial Services e American Express. Desempenha um papel importante na promoção da segurança da informação, particularmente em sistemas eletrônicos. Na verdade, o PCI Data Security Standard ou (PCI-DSS) surgiu como um padrão de conformidade não apenas para qualquer um, mas para todos os processadores de pagamento. Além disso, os fornecedores precisam avaliar o cenário na tentativa de determinar o escopo de seu risco, o que permite que eles sejam compatíveis com PCI-DSS.
• COSO : A Securities and Exchange Commission, ou popularmente conhecida como SEC, formou um comitê na década de 1980 para examinar relatórios fraudulentos. No processo, cinco organizações de apoio a contadores e auditores aderiram à revisão, o que resultou na criação do Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO). Mais tarde, em 2013, uma grande revisão foi incluída na estrutura inicial.

O Controle Interno do COSO reconhece os cinco elementos correlacionados de atividades de controle, ambiente de controle, monitoramento, informação e comunicação e atividades de controle. Além disso, seu Enterprise Risk Management – ​​Integrated Framework, que foi criado pela PricewaterhouseCoopers incluiu objetivos de negócios estratégicos, de relatórios, operações e conformidade com oito elementos de estrutura de identificação de eventos, monitoramento, informações e gerenciamento, atividades de controle, resposta a riscos, definição de objetivos, meio ambiente e avaliação de riscos.

Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado pelo que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT.