Os termos segurança e conformidade são frequentemente usados de forma intercambiável. No entanto, são conceitos únicos e distintos.
A segurança, geralmente considerada como segurança da informação, é comumente definida como um conjunto de controles técnicos, físicos e administrativos que você implementa para fornecer confidencialidade, integridade e disponibilidade. Por exemplo, você protege um host bloqueando quais contas podem fazer login nele e por quais meios (SSH, console direto e assim por diante). A conformidade, por outro lado, é um conjunto de requisitos necessários para atender aos controles mínimos estabelecidos por diferentes estruturas regulatórias que fornecem orientação limitada sobre qualquer tipo específico de tecnologia, fornecedor ou configuração. Por exemplo, o Payment Card Industry (PCI) estabeleceu diretrizes de segurança para ajudar as organizações a proteger proativamente os dados da conta do cliente.
A segurança reduz o risco de roubo de dados, ataque cibernético ou acesso não autorizado, enquanto a conformidade é a prova de que um controle de segurança está em vigor, normalmente dentro de um cronograma definido. A segurança é descrita principalmente nas decisões de projeto e destacada nas configurações de tecnologia. A conformidade está focada no mapeamento da correlação entre os controles de segurança e os requisitos específicos. Um mapeamento de conformidade fornece uma exibição centralizada para listar muitos dos controles de segurança necessários. Esses controles são mais detalhados incluindo citações de conformidade para cada respectivo controle de segurança, conforme determinado por um domínio, como NIST, PCI, FedRAMP, HIPAA e assim por diante.
Programas eficazes de segurança cibernética e conformidade são baseados em três pilares: pessoas, processos e tecnologia. Um equívoco geral é que a tecnologia sozinha pode resolver todas as suas necessidades de segurança cibernética. A tecnologia desempenha um papel grande e importante no desenvolvimento e na execução de um programa de segurança da informação. No entanto, a tecnologia sem processo e procedimentos, além de conscientização e treinamento, cria uma vulnerabilidade em sua organização.
Ao definir suas estratégias de segurança e conformidade, lembre-se do seguinte:
- As pessoas precisam de conscientização e treinamento gerais, enquanto a equipe de TI precisa de treinamento específico.
- O processo define como as atividades, as funções e a documentação dentro de uma organização são usadas para mitigar os riscos. Os processos só são eficazes se as pessoas os seguirem corretamente.
- A tecnologia pode ser usada para evitar ou reduzir o impacto do risco de segurança cibernética na sua organização. Qual tecnologia usar depende do nível de aceitação de risco dentro de uma organização.
A VMware fornece Kits de conformidade que contêm um Guia de auditoria e um Guia de aplicabilidade do produto, ajudando a preencher a lacuna entre os requisitos de conformidade e regulamentares e os guias de implementação. Para obter mais informações, consulte https://core.vmware.com/compliance.
Glossário de Termos de Conformidade
A conformidade apresenta termos e definições específicos que são importantes de entender.
Prazo | Definição |
---|---|
CJIS |
Serviços de Informações sobre Justiça Criminal. No contexto da conformidade, o CJIS produz uma Política de Segurança sobre como as agências de justiça criminal e policiais locais, estaduais e federais devem tomar precauções de segurança para proteger informações confidenciais, como impressões digitais e antecedentes criminais. |
DISA STIG |
Guia de Implementação Técnica de Segurança da Agência de Sistemas de Informação de Defesa. A Defense Information Systems Agency (DISA) é a entidade responsável por manter a postura de segurança da infraestrutura de TI do Departamento de Defesa (DoD). A DISA realiza essa tarefa desenvolvendo e usando Guias Técnicos de Implementação de Segurança, ou "STIGs". |
FedRAMP | Programa Federal de Gerenciamento de Risco e Autorização. O FedRAMP é um programa governamental que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo para produtos e serviços de nuvem. |
HIPAA |
Lei de Portabilidade e Responsabilidade do Seguro Saúde. Aprovada pelo Congresso em 1996, a HIPAA faz o seguinte:
O último marcador é o mais importante para a documentação de vSphereSegurança. |
NCCoE |
Centro Nacional de Excelência em Segurança Cibernética. A NCCoE é uma organização do governo dos EUA que produz e compartilha publicamente soluções para problemas de segurança cibernética que as empresas dos EUA encontram. O centro forma uma equipe de pessoas de empresas de tecnologia de segurança cibernética, outras agências federais e universidades para resolver cada problema. |
NIST |
Instituto Nacional de Padrões e Tecnologia. Fundado em 1901, o NIST é uma agência federal não reguladora do Departamento de Comércio dos EUA. A missão do NIST é defender a inovação e a competitividade industrial dos EUA, promovendo a ciência, os padrões e a tecnologia de medição de maneiras que aumentem a segurança econômica e melhorem nossa qualidade de vida. |
PAG |
Guia de aplicabilidade do produto. Um documento que fornece orientação geral para organizações que estão considerando as soluções de uma empresa para ajudá-las a atender aos requisitos de conformidade. |
PCI DSS |
Padrão de segurança de dados do setor de cartões de pagamento. Um conjunto de padrões de segurança projetado para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. |
Soluções de conformidade VVD/VCF |
VMware Projeto validado/VMware Cloud Foundation. Os projetos validados do VMware fornecem blueprints abrangentes e amplamente testados para criar e operar um centro de dados definido por software. As soluções de conformidade VVD/VCF permitem que os clientes atendam aos requisitos de conformidade para várias regulamentações governamentais e do setor. |