Suas práticas de segurança da informação e de seus fornecedores são respaldadas por especialistas?

Sócio e Diretor de Segurança da Informação da Miller Kaplan , supervisionando a Segurança da Informação para os clientes e para a empresa.

Muito do trabalho que realizo, principalmente para clientes regulamentados pelo Departamento do Trabalho (DOL), envolve análises de risco de terceiros. Em 2021, o DOL divulgou uma lista das melhores práticas de segurança cibernética . Agora, além de garantir que suas próprias práticas de segurança da informação foram implementadas, uma ampla gama de organizações teve que determinar se seus fornecedores, que têm acesso a informações críticas e regulamentadas, também estão fazendo a coisa certa em cada um desses 12 práticas:

1. Ter um programa de cibersegurança formal e bem documentado.

2. Realizar avaliações de risco anuais prudentes.

3. Ter uma auditoria anual confiável de terceiros dos controles de segurança.

4. Defina e atribua claramente as funções e responsabilidades de segurança da informação.

5. Tenha procedimentos de controle de acesso fortes.

6. Certifique-se de que todos os ativos ou dados armazenados em nuvem ou gerenciados por um provedor de serviços terceirizado estejam sujeitos a revisões de segurança apropriadas e avaliações de segurança independentes.

7. Realize treinamentos periódicos de conscientização sobre segurança cibernética.

8. Implementar e gerenciar um programa de ciclo de vida de desenvolvimento de sistema seguro (SDLC).

9. Ter um programa eficaz de resiliência de negócios abordando continuidade de negócios, recuperação de desastres e resposta a incidentes.

10. Criptografe dados confidenciais, armazenados e em trânsito.

11. Implemente fortes controles técnicos de acordo com as melhores práticas de segurança.

12. Responder adequadamente a quaisquer incidentes de segurança cibernética anteriores.

Ao avaliar fornecedores, você pode frequentemente ouvi-los fazer reivindicações ou afirmações quanto à existência de suas práticas de segurança da informação; no entanto, muitas dessas afirmações, após exame/questionamento, revelam-se empiricamente falsas.

Minha empresa avaliou recentemente uma solução de nuvem que esperávamos que ajudasse a automatizar alguns de nossos processos; solicitamos que eles compartilhassem suas práticas de segurança da informação conosco. Na superfície, suas respostas pareciam como se sua organização pudesse ter pelo menos algumas práticas de segurança da informação que poderiam apoiar uma posição comercialmente razoável; no entanto, aprendemos rapidamente que as práticas não estavam, de fato, nem mesmo em um nível básico de segurança. Como chegamos a esta conclusão? Quando nos aprofundamos, vimos que eles não tinham experiência interna para poder alegar praticar segurança da informação razoável e que, na ausência de experiência interna, não estavam conduzindo nenhuma revisão externa dessas práticas qualquer.

Outra organização, quando solicitada a compartilhar suas práticas e controles de segurança da informação, apresentou um relatório de Controles de Serviço e Organização 1 (SOC-1) como prova de que tinha controles de segurança da informação em vigor. No entanto, de acordo com o American Institute of Certified Public Accountants (AICPA), o relatório SOC-1 avalia “o efeito dos controles na organização prestadora de serviços nas demonstrações financeiras das entidades usuárias” – ao invés de um mergulho profundo na Gestão de Segurança da Informação Programa e controles associados que são necessários não apenas para atender às melhores práticas do Departamento de Trabalho, mas também para estabelecer um nível comercialmente razoável de segurança da informação.

Infelizmente, esta é uma história muito comum. Muitas organizações não possuem níveis comercialmente razoáveis ​​de segurança da informação, muito menos um programa formal e bem documentado de segurança da informação apoiado por especialistas, o que nos leva a duas conclusões:

1. Uma organização deve ter uma entidade externa qualificada revisando suas práticas de segurança da informação de acordo com as estruturas nacionais ou internacionais para ter a chance de entender como elas são implementadas.

2. Cada organização que realiza avaliações de risco de terceiros deve ter seus próprios especialistas no assunto para avaliar se o que está sendo dito é preciso e se essas alegações correspondem aos critérios aos quais cada organização é obrigada a aderir.

No entanto, há boas notícias: ter um programa de segurança da informação formal e bem documentado, que inclua análises de riscos de terceiros, não precisa ser difícil. Os especialistas no assunto podem fornecer um roteiro claro para a implementação desses requisitos.