No atual ambiente regulatório global em rápida mudança, novas tecnologias, ambientes e ameaças estão aumentando as preocupações com a segurança cibernética e a privacidade dos dados. No ano passado, os organismos reguladores tomaram medidas significativas para implementar medidas de conformidade mais rigorosas – e mais do que nunca, estão a concentrar-se nas ameaças relacionadas com a identidade.
Outras mudanças notáveis incluem:
- O Instituto Nacional de Padrões e Tecnologia (NIST) lançou sua Estrutura de Segurança Cibernética NIST atualizada, enfatizando o gerenciamento de riscos da cadeia de suprimentos e as diretrizes para o uso de IA.
- EU A União Europeia analisou A Diretiva SRI2 entrou em vigor, alargando o seu alcance a todas as indústrias e introduzindo sanções mais elevadas para o incumprimento.
- As leis de proteção de dados continuaram a ser mais rigorosas em todo o mundo. Nos EUA, atualizado Lei de Direitos de Privacidade da Califórnia (CPRA) confere aos consumidores mais direitos de privacidade de dados e introduz novas regras para sistemas automatizados de tomada de decisão. Entretanto, países como o Brasil e a Índia introduziram leis amplamente alinhadas com a Lei Geral de Proteção de Dados da UE (GDPR) para garantir a transferência e proteção global de dados.
- À medida que a adoção da nuvem continua a aumentar, foram lançados o Programa Federal de Gestão de Riscos e Autorizações dos EUA (FedRAMP) e a Agência da União Europeia para a Segurança Cibernética (ENISA). novos requisitos de certificação para provedores de serviços em nuvem (CSPs) para obter acesso a dados e sistemas governamentais importantes.
A confiança zero é um elemento comum em muitas mudanças regulatórias recentes. Essa filosofia de “nunca confiar, sempre verificar” pressupõe que qualquer identidade – um usuário humano, dispositivo, máquina ou aplicativo – pode representar uma ameaça e deve ser devidamente protegida.
Hoje, qualquer identidade pode ser configurada com milhares de permissões para acessar recursos, dados e outros recursos confidenciais. Isso significa que qualquer identidade pode ser privilegiada e usada para lançar um ataque ou roubar dados confidenciais — a qualquer momento. Por exemplo, pense naquele eu que foi aprovado e confiável há cinco minutos, mas que acabou de ser comprometido e não é mais confiável. Para abraçar totalmente a confiança, as organizações devem ser capazes de proteger dinamicamente a identidade e controlar o acesso aos seus recursos empresariais – avaliando riscos potenciais em tempo real e incorporando contexto nos mecanismos de autenticação.
Para muitos, a segurança de identidade está a emergir como uma forma de superar desafios comuns, tais como políticas de acesso rigorosas, permissões estáticas e falta de deteção de ameaças em tempo real e de alinhamento da sua postura de segurança com os requisitos de conformidade em evolução. As ferramentas de proteção de identidade impõem privilégios zero permanentes (ZSP), removendo o acesso persistente e fornecendo acesso temporário e just-in-time (JIT) com base no princípio do privilégio mínimo. Isso reduz a superfície de ataque aumentando e revogando privilégios de usuário conforme necessário. Com a segurança de identidade, as organizações podem navegar pela incerteza regulatória e lidar com riscos centrados na identidade ao longo de toda a jornada de conformidade dinâmica e contínua.
Cobrando um curso para atender à conformidade e pesquisa de segurança de identidade
A conformidade não se trata apenas de como os dados do consumidor são armazenados, mas também de como são coletados, processados e usados. Na verdade, a conformidade não se trata mais apenas de dados. Reguladores, auditores e até mesmo membros do conselho estão focados na resiliência – avaliando a capacidade das organizações de prevenir, resistir e recuperar-se de ataques e interrupções cibernéticas. Agora, a conformidade e a segurança estão indissociavelmente ligadas, sublinhando a necessidade de uma estratégia integrada e de uma “bússola” de segurança para ajudar as organizações a traçar o seu rumo.
Aprimorando a vantagem estratégica
A realidade é que mesmo as organizações mais conformes são violadas. Os líderes de segurança experientes reconhecem isso e não veem mais a conformidade como uma atividade que exige uma caixa de seleção. Em vez disso, encaram os mandatos regulamentares como uma forma estratégica de impor controlos abrangentes, redutores de riscos, mais importantes, seguros e promotores de negócios e, portanto, cumprir os requisitos de conformidade.
Um bom exemplo disso são as instituições financeiras sujeitas à Lei Sarbanes-Oxley (SOX). Sim, precisam de ter controlos internos eficazes sobre os relatórios financeiros, mas também consideram os controlos centrados na propriedade, como a gestão de acesso privilegiado (PAM), como essenciais para construir a confiança do cliente. Ao garantir que apenas indivíduos autorizados tenham acesso a contas especiais e que quaisquer alterações aos dados sejam monitorizadas e auditadas, as instituições financeiras podem demonstrar eficazmente o seu compromisso em manter a integridade, protecção e confiança dos dados dos clientes – a base sobre a qual a confiança é construída.
Antecipando ondas regulatórias
Os órgãos reguladores de hoje esperam uma gestão de risco eficaz – isso é um dado adquirido. Contudo, a verdadeira diligência significa ir além dos requisitos básicos de saber onde existem riscos e ter planos para enfrentá-los.
Uma vez que qualquer identidade pode ser vulnerável e explorada para atacar ou roubar dados confidenciais, o desafio é: Como obter a visibilidade e o controlo necessários para garantir que as permissões e privilégios concedidos não colocam a nossa organização em risco?
A segurança de identidade oferece às organizações uma visão unificada de quem tem acesso a quê, com recursos para localizar, modificar, verificar e revogar o acesso. Capacitadas, as organizações podem identificar e mitigar riscos antes eles se tornaram ameaças reais. Por exemplo, os prestadores de cuidados de saúde que enfrentam desafios na gestão da proliferação de identidades digitais e de direitos de acesso nos seus sistemas díspares e interligados estão a recorrer à gestão e governação de identidades (IGA) para gerir a conformidade com a HIPAA e outras regulamentações rigorosas da indústria, ao mesmo tempo que demonstram liderança em dados de pacientes. proteção.
À medida que os negócios crescem rapidamente e os requisitos de auditoria evoluem, as organizações também precisam de monitorizar constantemente o seu progresso nos requisitos regulamentares e onde existem lacunas. Devem ser capazes de mostrar aos auditores e ao Conselho que dados (e propriedade relacionada) são controlados e quais dados (e propriedade relacionada) devem ser geridos e controlados. A segurança de identidade permite que as organizações avaliem proativamente seus controles, priorizem esforços de mitigação de riscos em áreas específicas e prevejam melhor onde os auditores poderão se concentrar em seguida.
Construindo confiança no mar aberto da colaboração digital
A confiança é muito importante na economia digital. Um único incidente pode prejudicar a reputação e os relacionamentos de uma empresa, conforme evidenciado por recentes violações de alto perfil. Além disso, sanções regulamentares e soluções jurídicas incapacitantes podem constituir grandes obstáculos ao crescimento e à evolução futuros.
A segurança de identidade pode ajudar as empresas e fortalecer a confiança, reforçando a transparência e a responsabilidade, ao mesmo tempo que demonstra uma gestão responsável dos dados para cumprir o GDPR e outras leis de conformidade importantes.
Navegando no futuro da conformidade de segurança de identidade
Indo suavemente no piloto automático: Muitas empresas lutam há muito tempo para gerenciar direitos e cumprir as regulamentações de privacidade de dados e segurança cibernética. Apesar da crescente prevalência da automação inteligente, muitos continuam a depender de processos manuais e desarticulados para a entrada e saída de utilizadores e não supervisionam a evolução dos seus direitos de acesso. Esses métodos são altamente ineficientes e propensos a erros – eles prejudicam a visibilidade e o controle, impedem a agilidade dos serviços de TI e aumentam os riscos. Soluções de segurança proprietárias podem ajudar a simplificar e automatizar processos de controle complexos e propensos a erros, garantindo que todos os direitos de acesso sejam concedidos de forma adequada e verificados continuamente. Essas ferramentas também podem desempenhar um papel de “condução colaborativa”, tomando decisões automaticamente com base em dados contextuais sobre os usuários. E quando se trata do tão temido processo de relatórios, eles fornecem análises aprofundadas e métodos de teste para ajudar as equipes a identificar facilmente possíveis problemas de conformidade e agilizar os relatórios.
Adapte-se às mudanças nas condições com controles dinâmicos: O ambiente regulatório é como o oceano, em constante movimento e mudança e, por vezes, apanhando os viajantes desprevenidos. É por isso que as medidas de segurança estática muitas vezes falham sob pressão, e as organizações procuram cada vez mais controles de segurança proprietários poderosos — por exemplo, para garantir que possam ajustar os requisitos com base em uma situação e se adaptar às ameaças em tempo real.
Ficar alerta no mar: Uma jornada contínua de conformidade requer monitoramento constante (leia-se: monitoramento contínuo e evidências). Limitar o escopo do que assistir torna isso muito mais fácil de realizar. As soluções de segurança proprietárias ajudam a implementar princípios de menor privilégio nos atuais ambientes de TI híbridos e altamente distribuídos. Remover contas privilegiadas desnecessárias e acessos de alto risco e controlar rigorosamente o que os usuários podem fazer em qualquer sessão pode reduzir significativamente a superfície de ataque — e a carga de conformidade associada. Com uma visão clara e unificada, as organizações podem detectar problemas antecipadamente, demonstrar conformidade com confiança e obter insights sobre decisões estratégicas de negócios.
Orientação sobre segurança de identidade e liderança em conformidade: No ambiente regulatório atual, a única constante é a mudança. As organizações preparadas para navegar em águas turvas e incertas — e munidas de um roteiro fiável — não só sobreviverão, como também prosperarão. Ao adotar a segurança proprietária como parte de uma abordagem de soma zero, as organizações podem satisfazer plenamente a conformidade e, ao mesmo tempo, fortalecer a sua postura de segurança para obter uma vantagem competitiva.
Para obter mais informações sobre como reduzir riscos com segurança de identidade, confira a série da web “Trusting Zero Trust”, agora disponível sob demanda.
