Reforce sua conformidade regulatória com medidas de segurança em camadas
Se sua função principal envolve proteger a empresa contra ciberameaças, provavelmente você também lida com outra grande responsabilidade que é a conformidade regulatória. Mais de 130 países aprovaram leis de privacidade de dados, e 156 países (80% do mundo) aprovaram legislações sobre cibercrimes.
Além disso, cada regulamentação de privacidade tem requisitos e exigências específicos para:
- Realização de avaliações de riscos
- Demonstração de políticas e planos de segurança
- Geração de relatórios para auditorias e, quando necessário, geração de relatórios de violações de dados
Muitos CISOs estão aplicando o tempo limitado de suas equipes em esforços de conformidade alinhados com os pilares fundamentais da segurança. Considere, por exemplo, a regulamentação da regulamentação Network and Information Security Directive 2 (NIS2) (Diretriz de segurança de rede e informações 2 da União Europeia). Os prestadores de serviços dos países da UE estão implementando controles de acesso de “privilégios mínimos”, para satisfazer os requisitos da NIS2 em termos de proteção de dados confidenciais.
Entre as práticas comuns, destaca-se o armazenamento seguro das credenciais de usuários privilegiados de TI em vaults, além da elaboração de relatórios para reguladores com detalhes sobre quem tem acesso a quais recursos. Essa abordagem também se reflete em setores como o de saúde, em que organizações que lidam com informações protegidas sobre saúde de cidadãos (PHI) dos EUA devem garantir a segurança dos registros de pacientes, conforme exigido pela Healthcare Information Portability and Accountability Act (HIPAA) (Lei de portabilidade e responsabilidade de informações de saúde).
A adoção de práticas de segurança padronizadas reforça a proteção de dados e contribui diretamente para a conformidade regulatória. Mas proteger as portas e esconder as chaves cobre apenas algumas camadas da superfície de ataque.
Para aprofundar a análise, é essencial compreender como a organização protege seus recursos diante do cenário altamente provável de uma exploração de vulnerabilidade por invasores. Ao adotar o conceito de “presunção de violação”, a organização pode garantir que está tomando todas as medidas necessárias para restringir a movimentação dos invasores, impedindo deslocamentos laterais, a elevação de privilégios e danos significativos?
Nesta série de postagem de blog, analisaremos as camadas da superfície de ataque que os reguladores atuais precisam ver protegidas e compartilharemos as melhores práticas para garantir essa segurança de forma eficaz.
Como o mapeamento de princípios de segurança pode melhorar a conformidade
Especialistas do setor recomendam que as empresas alinhem seus esforços de conformidade a diretrizes de segurança confiáveis, como National Institute for Standards in Technology (NIST framework) ou a International Organization for Standardization (padrões ISO). Esse alinhamento oferece uma abordagem prática para:
- Adotar as práticas recomendadas por instituições reconhecidas e fortalecer a confiança
- Alinhar os esforços de conformidade com diversos regulamentos e aumentar a eficiência
No entanto, à medida que as superfícies de ataque e os regulamentos evoluem, surge uma questão fundamental: Por que não estruturar os esforços de conformidade de dados da sua organização em torno de um princípio consolidado de cibersegurança? Alguns chamam essa estratégia de defesa em profundidade, mas a denominamos segurança em camadas. De qualquer forma, o conceito de uma abordagem em camadas é amplamente compreendido e reconhecido.
A importância de adotar uma abordagem de segurança em camadas
Em vez de depender excessivamente de uma única ferramenta ou um controle de segurança, é possível estruturar diversas camadas de proteção que atuam em conjunto, formando uma série de barreiras interconectadas, armadilhas e obstáculos inesperados para os invasores. Essa arquitetura visa restringir as opções, o acesso e a visibilidade dos invasores, dificultando sua movimentação. Por meio de uma abordagem em camadas, os controles de segurança direcionados a riscos específicos se complementam, criando um sistema robusto e adaptável. Se um controle de segurança falhar, outro estará posicionado logo em seguida, pronto para agir. Se outro captar um sinal de ataque, seu equivalente pode utilizar essas informações para bloquear a movimentação do agente de ameaça. Se uma ferramenta proteger o acesso humano, outra se encarrega do acesso não humano, criando uma defesa integrada e abrangente.
As organizações podem aplicar essa abordagem também à conformidade. Os reguladores exigem evidências de que você está tomando todas as medidas possíveis para proteger dados e a infraestrutura contra invasores. Isso inclui ataques que publicam informações pessoais de milhões de consumidores ou interrompem operações para campos de infraestrutura crítica, como instalações de tratamento de água.
O risco é significativo: a não conformidade regulatória aumentou o custo médio de uma violação de dados de US$ 4,88 milhões para quase US$ 5,12 milhões em 2024.
Desde a estruturação de planos mais abrangentes até a otimização dos recursos de geração de relatórios, exploraremos algumas lacunas comuns e estratégias eficazes para solucioná-las.
Principais exemplos de segurança em camadas aplicada aos padrões de conformidade
Muitas organizações fortaleceram sua segurança ao proteger as credenciais de usuários privilegiados de TI, que, se comprometidas, poderiam conceder aos invasores controle das redes e acesso a dados confidenciais. Desde a implantação do PCI-DSS v4.0 (Payment Card Industry Data Security Standard, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) à promulgação do GDPR (General Data Protection Regulation, Regulamento Geral de Proteção de Dados), os reguladores esperam medidas consistentes de controle de acesso privilegiado.
Além disso, é importante adotar controles para segmentar e proteger dados, garantindo que todas as categorias sejam protegidas por mecanismos de autorização alinhados às suas características específicas, incluindo confidencialidade da informação e regulamentações regionais.
Quando a rede é dividida em segmentos menores e isolados, cada um com suas próprias políticas de segurança de informações, as equipes de segurança adquirem um controle mais preciso sobre o acesso aos dados e o deslocamento lateral.
Com as ferramentas de microssegmentação corretas em vigor, essa abordagem granular:
- Reduz a superfície de ataque
- Limita os possíveis danos em caso de violação ou ataque de ransomware
- Permite que as equipes de segurança demonstrem como protegem dados, sistemas e operações, tanto em seus planos gerais quanto em auditorias periódicas
Como as equipes de segurança podem aplicar o conceito de segurança em camadas para reformar a conformidade regulatória? A proteção de dados continua sendo um pilar essencial da segurança.
Requisitos fundamentais para a segurança de APIs
De acordo com o relatório DBIR da Verizon de 2025, 60% das violações são provenientes do “elemento humano”, como funcionários que caem em golpes de phishing, resultando no roubo de dados. Portanto, diante desse cenário, as empresas implementam controles rigorosos de gerenciamento de identidade e acesso para evitar multas significativas e proteger sua reputação. Muitos reguladores e estruturas insistem nisso.
Sua organização pode demonstrar aos reguladores como está reduzindo a dependência de senhas e implementando métodos de autenticação de dois fatores para os usuários. Mas e o elemento não humano?
Em uma única empresa, milhares de APIs operam nos bastidores para facilitar a troca rápida de dados. No entanto, os invasores sabem que muitas dessas APIs são mal configuradas, carecem de controles de autenticação e podem ser facilmente manipuladas para expor informações confidenciais.
De fato, 84% das organizações relataram incidentes de segurança de APIs nos últimos 12 meses, tendo os líderes de TI e segurança citado um custo médio de US$ 943.162.
Ao adotar uma abordagem de segurança em camadas para requisitos de conformidade, as equipes de segurança pode complementar seus controles de acesso à força de trabalho com ferramentas dedicadas ao monitoramento e à proteção de todo seu acervo de APIs. Isso inclui recursos de gerenciamento de postura de segurança de APIs para:
Analisar o comportamento de uma API em busca de anomalias em relação a uma referência de atividade padrão
Identificar atividades mal-intencionadas em tempo real e acionar outras ferramentas integradas para aplicar controles, como bloqueio de acessos não autorizados
Fornecer uma visão contínua sobre possíveis incidentes de segurança de APIs, alinhada às estruturas de conformidade adotadas pela organização
Práticas recomendadas de conformidade de segurança de dados: Aprofunde-se nas quatro camadas fundamentais de segurança
Acompanhe futuras publicações nesta série de blog, em que abordaremos estratégias eficazes para que as equipes de segurança corporativa enfrentem desafios e lacunas na conformidade. Acreditamos que a conformidade com as leis de proteção de dados exige uma abordagem estratégica semelhante à implementação de estratégias em camadas para reforçar a segurança em todas as áreas da superfície de ataque.
Apresentaremos as práticas recomendadas diretamente relacionadas às exigências dos reguladores atuais, inclusive a garantia de visibilidade abrangente em todo o ecossistema de TI.
Saiba mais
Saiba mais sobre como a Akamai pode ajudar você. Visite nossa página de informações sobre conformidade em cibersegurança.
