Como controles, frameworks e conformidade estão relacionados

Os controles de segurança são salvaguardas projetadas para reduzir riscos específicos de segurança. Portanto, eles são usados ​​junto com frameworks para garantir que os objetivos e processos de segurança sejam implementados corretamente e que as organizações atendam aos requisitos de conformidade regulatória.

Frameworks de segurança

Os frameworks de segurança são diretrizes usadas para criar planos para ajudar a mitigar riscos e ameaças aos dados e à privacidade. Eles têm quatro componentes principais:

• Identificar e documentar metas de segurança
• Definir diretrizes para alcançar metas de segurança
• Implementação de processos de segurança robustos
• Monitoramento e comunicação de resultados

Conformidade

A conformidade é o processo de adesão a padrões internos e regulamentos externos.

Controles, frameworks e conformidade específicos

O Instituto Nacional de Padrões e Tecnologia (NIST) é uma agência dos EUA que desenvolve vários frameworks de conformidade voluntários que organizações em todo o mundo podem usar para ajudar a gerenciar o risco. Quanto mais alinhada uma organização estiver com a conformidade, menor será o risco.

Exemplos de frameworks incluem o NIST Cybersecurity Framework (CSF) e o NIST Risk Management Framework (RMF).

Observação: as especificações e diretrizes podem mudar dependendo do tipo de organização para a qual você trabalha.

Além do NIST CSF e do NIST RMF, existem vários outros controles, frameworks e padrões de conformidade com os quais é importante que os profissionais de segurança estejam familiarizados para ajudar a manter as organizações e as pessoas que elas atendem seguras.

Comissão Federal de Regulamentação de Energia – North American Electric Reliability Corporation (FERC-NERC)

A FERC-NERC é uma regulamentação que se aplica a organizações que trabalham com eletricidade ou que estão envolvidas com a rede de energia dos EUA e da América do Norte. Esses tipos de organizações têm a obrigação de preparar, mitigar e relatar qualquer potencial incidente de segurança que possa afetar negativamente a rede elétrica. Eles também são legalmente obrigados a aderir aos Padrões de confiabilidade de proteção de infraestrutura crítica (CIP) definidos pela FERC.

Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP®)

FedRAMP é um programa do governo federal dos EUA que padroniza a avaliação, autorização, monitoramento e manuseio de serviços em nuvem e ofertas de produtos. Seu objetivo é fornecer consistência em todo o setor governamental e provedores de nuvem de terceiros.

Center for Internet Security (CIS®)

O CIS é uma organização sem fins lucrativos com várias áreas de atuação. Ele fornece um conjunto de controles que podem ser usados ​​para proteger sistemas e redes contra ataques. Seu objetivo é ajudar as organizações a estabelecer um melhor plano de defesa. O CIS também fornece controles acionáveis ​​que os profissionais de segurança podem seguir se ocorrer um incidente de segurança.

Regulamento Geral de Proteção de Dados (GDPR)

O GDPR é um regulamento geral da União Europeia (UE) que protege o processamento de dados de residentes da UE e seu direito à privacidade dentro e fora do território da UE. Por exemplo, se uma organização não for transparente sobre os dados que armazena sobre um cidadão da UE e por que armazena esses dados, isso é uma infração que pode resultar em multa para a organização. Além disso, se ocorrer uma violação e os dados de um cidadão da UE forem comprometidos, eles devem ser informados. A organização afetada tem 72 horas para notificar o cidadão da UE sobre a violação.

Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS)

O PCI DSS é um padrão de segurança internacional destinado a garantir que as organizações que armazenam, aceitam, processam e transmitem informações de cartão de crédito o façam em um ambiente seguro. O objetivo deste padrão de conformidade é reduzir a fraude de cartão de crédito.

Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA)

A HIPAA é uma lei federal dos EUA estabelecida em 1996 para proteger as informações de saúde dos pacientes. Esta lei proíbe o compartilhamento de informações de pacientes sem seu consentimento. É regida por três regras que são:

• Regra de privacidade: Esta regra protege a confidencialidade das informações de saúde protegidas (PHI), que são informações sobre a saúde física ou mental de uma pessoa, passado, presente ou futuro. A regra proíbe o compartilhamento de PHI sem o consentimento do paciente, exceto em circunstâncias limitadas, como quando o compartilhamento é necessário para fornecer cuidados de saúde ou quando é exigido por lei.
• Regra de segurança: Esta regra protege a integridade e a disponibilidade das PHI. A regra exige que as organizações que processam PHI implementem medidas de segurança para proteger as informações contra acesso não autorizado, uso, divulgação, alteração ou destruição.
• Regra de notificação de violação: Esta regra exige que as organizações notifiquem os pacientes dentro de 60 dias se houver uma violação de segurança que possa ter exposto suas PHI.

Exemplos de como as regras da HIPAA são aplicadas:

• Regra de privacidade: Um hospital não pode compartilhar os resultados de um exame de câncer com um empregador sem o consentimento do paciente.
• Regra de segurança: Um provedor de serviços de saúde deve usar senhas fortes e criptografia para proteger as PHI armazenadas em seus sistemas de computador.
• Regra de notificação de violação: Uma clínica deve notificar os pacientes se um hacker tiver acesso a seus registros médicos.

As regras da HIPAA são importantes para proteger a privacidade e a segurança das informações de saúde dos pacientes. Ao seguir essas regras, as organizações podem ajudar a garantir que os pacientes tenham acesso aos cuidados de saúde de que precisam sem colocar suas informações pessoais em risco.

Quer saber mais como proteger as informações e estar dentro das regras LGDP, GPDR e HIPPA fala com nossos especialistas.