Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

Entendendo os mandatos de conformidade da UE: GDPR, Cyber Essentials

Editorial Illumio
,
October 15, 2020
23 leitura mínima

Em parte um Nesta série de blogs, discuti o cenário de conformidade e como cada setor tem seus próprios mandatos ou orientações sobre segurança cibernética. Isso foi seguido por uma postagem sobre regulamentação e controles de segurança no setor de Sistemas Críticos e Tecnologia Operacional, uma área na qual tenho experiência direta e que me fascina à medida que a cibersegurança se desenvolve lá. De lá, mudei para o regulamentos de serviços financeiros presente na UE.

Aqui, passaremos para um mandato um pouco tangencial, o GDPR, e também analisaremos o Cyber Essentials/Cyber Essentials Plus como um conjunto de diretrizes do NCSC (Centro Nacional de Segurança Cibernética do Reino Unido) sobre segurança cibernética.

O Regulamento Geral de Proteção de Dados - GDPR

Muitos de vocês estão familiarizados com o Regulamento Geral de Proteção de Dados (GDPR), quer ele afete diretamente sua vida e seu trabalho na UE, quer se aplique aos dados com os quais trabalhamos e aos sistemas com os quais interagimos.

Sem entrar em muitos detalhes, o GDPR se concentra principalmente na proteção de dados, no tratamento de dados e nas questões de privacidade dos cidadãos da UE Informações de identificação pessoal (PII). Os princípios fundamentais fornecem aos indivíduos o controle sobre seus dados e determinam que os controladores e processadores de dados estabeleçam “medidas técnicas e organizacionais apropriadas” para implementar os princípios de proteção de dados. Lançado na primavera de 2018 e aplicável a todas as organizações que lidam com os dados dos cidadãos da UE, o GDPR é abrangente, mas visa unificar o controle de PII como um regulamento (controle) em vez de uma diretiva (orientação).

Fundamentalmente, o GDPR significa algumas coisas para os profissionais de segurança cibernética. Especificamente, as organizações precisam:

  • Gerencie o risco de segurança
  • Proteja os dados pessoais contra ataques cibernéticos
  • Detecte eventos de segurança
  • Minimize o impacto

Eles podem ser abordados em várias maneiras, incluindo a implementação de Fundamentos cibernéticos diretrizes no Reino Unido, que discutiremos mais adiante neste post.

Por enquanto, gostaria de me aprofundar em como interpretamos e aplicamos os requisitos, especificamente através das lentes da microssegmentação, prevenção de violações e redução do movimento lateral.

Princípios básicos do GDPR e como a Illumio ajuda

Há várias diretrizes que você pode usar para ajudar a atender aos padrões do GDPR do ponto de vista da segurança cibernética, descritas no guia de resultados de segurança do NCSC GDPR. Destes, vários requisitos específicos estão sob a alçada da microssegmentação:

A) Gerenciar o risco de segurança

Você tem estruturas, políticas e processos organizacionais apropriados para entender, avaliar e gerenciar sistematicamente os riscos de segurança dos dados pessoais

Especificamente:

A. 3 Gestão de ativos

Esse requisito normalmente trata dos dados em si de acordo com o GDPR, mas os próprios sistemas de manipulação/hospedagem de dados podem ser visualizado e mapeadoe, posteriormente, segmentados adequadamente para evitar acessos ou comprometimentos indesejados.

A. 4 Processadores de dados e a cadeia de suprimentos

Você entende e gerencia os riscos de segurança de suas operações de processamento que podem surgir como resultado de dependências de terceiros, como processadores de dados. Isso inclui garantir que eles empreguem medidas de segurança apropriadas.

Mapeamento de dependências de aplicativos, via Iluminação, é a principal função do Illumio Core e permite uma melhor compreensão da conectividade da sua organização com sistemas externos.

B) Proteger os dados pessoais contra ataques cibernéticos

Você tem medidas de segurança proporcionais em vigor para se proteger contra ataques cibernéticos que abrangem os dados pessoais que você processa e os sistemas que processam esses dados.

Semelhante à anterior, a diretriz principal aqui é sobre a prevenção de ataques cibernéticos, portanto, a prevenção do movimento lateral bem-sucedido nos sistemas que mantêm dados regidos pelo GDPR. É exatamente contra isso que a microssegmentação protege.

C) Detectar eventos de segurança

Você pode detectar eventos de segurança que afetam os sistemas que processam dados pessoais e monitorar o acesso autorizado do usuário a esses dados.

C.1 Monitoramento de segurança

Você monitora adequadamente o status dos sistemas que processam dados pessoais e monitora o acesso do usuário a esses dados, incluindo atividades anômalas do usuário.

Novamente, o mapeamento de dependências de aplicativos se destaca aqui. O monitoramento dos fluxos de aplicativos que entram e saem de aplicativos ou sistemas críticos é extremamente poderoso ao monitorar o comprometimento ou uma mudança de comportamento. Juntamente com a capacidade de integrar com sistemas como SIEMs e SOARs, ele permite uma reação rápida a ataques, como a quarentena de um dispositivo visto como comprometido.

Para organizações que adotam a postura de Zero Trust, as políticas da Illumio colocam a organização na vanguarda antes mesmo de um ataque ter a chance de se estabelecer e, inerentemente, protegem os sistemas críticos do movimento lateral em direção à cadeia de comprometimento.

D) Minimize o impacto

Você pode:

Minimize o impacto de uma violação de dados pessoais

Restaure seus sistemas e serviços

Isso trata do raio de explosão, especificamente da compreensão e minimização do mesmo. Novamente, referenciando sistemas aqui especificamente, em oposição aos dados em si.

Para ajudar a atender a esses requisitos, há vários conjuntos de diretrizes específicos que podem ser consultados, e até mesmo uma organização inteira dedicada a consultar e fornecer orientações sobre o cumprimento dos padrões de conformidade com o GDPR. Um desses conjuntos de diretrizes que podem ser referenciados como ponto de partida no Reino Unido é o Cyber Essentials, e sua versão auditada externamente, Cyber Essentials Plus:

Cyber Essentials, Cyber Essentials Plus

CyberEssentials

O Cyber Essentials é um conjunto de diretrizes simples de segurança cibernética publicado pelo NCSC, que qualquer organização pode usar para ajudar a proteger sua organização e pode ajudar ao tentar cumprir o GDPR ou não. O Cyber Essentials em si é uma opção de autoavaliação, com o Cyber Essentials Plus disponível como uma versão validada externamente. Os requisitos são os mesmos para ambos, somente o método de atestado muda.

O escopo pode incluir toda a infraestrutura de TI — ou um subconjunto. Os aplicativos da Web estão dentro do escopo por padrão.

A partir de Versão 2.1 — agosto de 2020, os requisitos específicos giram em torno de algumas áreas principais:

  • Firewalls
  • Configuração segura
  • Controle de acesso do usuário
  • Proteção contra malware
  • Gerenciamento de patches

Dessas, há três seções principais nas quais o Illumio pode ajudar: firewall, configuração segura e proteção contra malware. Alguns aspectos do controle de acesso do usuário também podem ser abordados com o Illumio Segmentação adaptativa de usuários funcionalidade.

Firewalls

Todos os dispositivos executam serviços de rede, que criam alguma forma de comunicação com outros dispositivos e serviços. Ao restringir o acesso a esses serviços, você reduz sua exposição a ataques. Isso pode ser feito usando firewalls e dispositivos de rede equivalentes.

Um firewall de limite é um dispositivo de rede que pode restringir o tráfego de entrada e saída da rede aos serviços em sua rede de computadores e dispositivos móveis. Ele pode ajudar a proteger contra ataques cibernéticos Cyber Essentials: Requisitos para infraestrutura de TI implementando restrições, conhecidas como “regras de firewall”, que podem permitir ou bloquear o tráfego de acordo com sua origem, destino e tipo de protocolo de comunicação.

Como alternativa, um firewall baseado em host pode ser configurado em um dispositivo. Isso funciona da mesma forma que um firewall de limite, mas protege apenas o único dispositivo no qual ele está configurado. Essa abordagem pode fornecer regras mais personalizadas e significa que as regras se aplicam ao dispositivo onde quer que ele seja usado. No entanto, isso aumenta a sobrecarga administrativa do gerenciamento de regras de firewall.

A Illumio usa principalmente o firewall de sistema operacional existente baseado em host e o programa de forma a alcançar facilmente uma postura de segurança dinâmica e Zero Trust. O uso de firewalls individuais existentes permite uma política muito granular, próxima ao dispositivo e aos dados que precisam ser protegidos.

Configuração segura

Computadores e dispositivos de rede nem sempre são seguros em suas configurações padrão. As configurações padrão prontas para uso geralmente incluem um ou mais pontos fracos, como:

  • uma conta administrativa com uma senha padrão predeterminada e conhecida publicamente
  • contas de usuário pré-habilitadas, mas desnecessárias (às vezes com privilégios de acesso especiais)
  • aplicativos ou serviços pré-instalados, mas desnecessários

As instalações padrão de computadores e dispositivos de rede podem oferecer aos cibercriminosos uma variedade de oportunidades de obter acesso não autorizado às informações confidenciais de uma organização, geralmente com facilidade.

Novamente, aqui o Zero Trust como modelo de política aumenta enormemente a segurança de uma determinada carga de trabalho — e minimiza o acesso aos “aplicativos ou serviços desnecessários” mencionados.

Proteção contra malware

A execução do software baixado da Internet pode expor um dispositivo à infecção por malware.

Malware, como vírus de computador, worms e spyware, é um software que foi escrito e distribuído deliberadamente para realizar ações maliciosas. As fontes potenciais de infecção por malware incluem anexos de e-mail maliciosos, downloads (inclusive de lojas de aplicativos) e instalação direta de software não autorizado.

Com essa orientação, ambos Núcleo Illumio e Illumio Edge ajudam a evitar o movimento lateral de uma infecção por malware, minimizando o raio de explosão e evitando o comprometimento subsequente dos aplicativos comerciais essenciais.

Em conclusão

Em ambos os casos de controle e orientação, a interpretação geralmente é crítica. O GDPR é conhecido por ser difícil de interpretar e implementar, com uma orientação relativamente aberta em termos de formas específicas de atingir os objetivos exigidos. As multas relacionadas ao GDPR levam em conta a intenção e o esforço necessários para atender aos requisitos, além dos detalhes técnicos dos controles implementados.

Da mesma forma, o Cyber Essentials fornece um esboço básico de como aumentar a segurança, mas está aberto a várias maneiras de chegar lá. A visibilidade granular proporcionada pelo mapeamento de dependências de aplicativos e a postura de segurança Zero Trust, por padrão, possibilitada pelo uso do Illumio, ajudam as organizações a percorrerem um longo caminho para cumprir esses dois conjuntos de diretrizes de segurança.

Para saber mais sobre a abordagem Zero Trust da Illumio, visite https://www.illumio.com/solutions/zero-trust.

Tópicos relacionados

Conformidade
Microsegmentação

Artigos relacionados

Proibição de pagamentos de resgate, Zero Trust para o firewall do Microsoft Azure e recentes violações no Reino Unido
Resiliência cibernética

Proibição de pagamentos de resgate, Zero Trust para o firewall do Microsoft Azure e recentes violações no Reino Unido

Veja um resumo da cobertura jornalística da Illumio de agosto de 2023.

Leia mais
Segurança de data center e nuvem — Por que precisamos de uma revolução
Resiliência cibernética

Segurança de data center e nuvem — Por que precisamos de uma revolução

As revoluções acontecem por um bom motivo. Eles são o resultado de uma divergência de expectativas e realidade, causando uma frustração reprimida que impulsiona a necessidade de mudança. As formas antigas não se alinham mais aos novos requisitos e a pressão atinge um ponto de ebulição em que não há outra opção a não ser fazer essa mudança.

Leia mais
Nossas histórias favoritas de Zero Trust de julho de 2023
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de julho de 2023

Aqui estão algumas das melhores histórias do Zero Trust e mais informações gerais sobre liderança inovadora em segurança cibernética do mês passado.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais