McAfee Security Insights - Fatos Relevantes

McAfee Security Insights - Fatos Relevantes

Guia Prático de Conformidade

Hoje em dia, as empresas de serviços financeiros devem utilizar as tecnologias de segurança e os produtos de gerenciamento de proteção de conteúdo que lhes auxiliem a conquistar e manter o cumprimento das atuais leis, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA - Health Insurance Portability and Accountability Act), a lei Sarbanes-Oxley e a Lei Gramm-Leach-Bliley (GLBA). Empresas de serviços financeiros, como bancos de investimentos, bancos comerciais e de varejo, seguradoras, ou até mesmo empresas que prestam serviços de hospedagem para o setor de serviços financeiros, devem cumprir essas leis.

Cada lei trata de uma questão diferente, tendo seus próprios requisitos básicos de conformidade; entretanto, as leis não dizem explicitamente às organizações de serviços financeiros o que devem fazer para cumpri-las.

O "triângulo" da CIA

As atuais leis dedicam-se a áreas diferentes do “triângulo da CIA” (CIA triangle)— confidencialidade, integridade e disponibilidade. Por exemplo, a lei Sarbanes-Oxley, aprovada pelo Congresso dos Estados Unidos em 2002, responsabiliza pessoalmente os CEOs (Chief Executive Officers) e CFOs (Chief Financial Officers) pela precisão dos seus relatórios financeiros.

“A lei Sarbanes-Oxley trata da integridade, garantindo que os relatórios financeiros sejam completos e precisos ou pelo menos garantindo a precisão dos controles que os geram”, afirma Peter Schawacker, especialista de segurança (Security Evangelist) da McAfee.

Por outro lado, a Lei Gramm-Leach-Bliley, promulgada em 1999, define o que as empresas de serviços financeiros podem fazer com as informações pessoais confidenciais que coletam durante suas atividades de consultoria de investimentos. “Esta lei trata da confidencialidade, pois as empresas devem garantir que haja uma separação entre as áreas de M&A (Fusões e Aquisições) e corretagem, por exemplo”, destaca Schawacker.

A HIPAA, aprovada em 1996 e dedicada à proteção de dados de pacientes, contempla todos os três vértices do triângulo da CIA (CIA triangle). A HIPAA refere-se especialmente às seguradoras e às demais empresas que processam os prontuários médicos de pacientes. “A parte da privacidade é aquela que todos gostam de abordar, mas também há os aspectos da integridade e da disponibilidade”, observa Schawacker. “Por exemplo, é essencial evitar confusões com medicamentos, além de ser igualmente importante que alguém que passe por uma cirurgia de emergência possa ter todos os seus registros.”

A HIPAA não afeta apenas os planos de saúde e as seguradoras. Na verdade, a legislação exige de qualquer empresa que lide com informações de pacientes o cumprimento das disposições sobre privacidade da HIPAA. Isso inclui empresas que oferecem planos de saúde aos seus funcionários, além de instituições financeiras atuando como câmaras de compensação de transações, convertendo transações não convencionais em transações padrão, e vice-versa, por exemplo.

Primeiramente, prepare uma boa segurança e, depois, verifique a conformidade

Há muito tempo, muitas empresas de serviços financeiros tomam medidas para manter a conformidade com as normas, mesmo antes da promulgação de leis. As organizações mais maduras adotaram a abordagem de criar, em primeiro lugar, um bom programa de segurança e, depois, verificar sua conformidade, afirma Schawacker. “As normas simplesmente dizem às pessoas para fazer o que deveriam estar fazendo há anos e é por isso que as empresas de serviços financeiros encontram bastante facilidade para cumpri-las.”

As leis são vagas em termos do que as empresas precisam fazer para realmente cumpri-las. “O motivo da falta de detalhamento de algumas leis e normas é que elas precisam valer para muitos tipos diferentes de empresas”, afirma Schawacker. “A HIPAA e a GLBA são mais específicas, porque cada uma delas trata de um setor de atividade. Quanto mais específico for o setor, mais específicas serão suas exigências. Na maior parte das vezes, as empresas simplesmente precisam demonstrar um planejamento detalhado das suas iniciativas e seguir o espírito da lei.”

Embora as atuais leis sejam muito diferentes em termos de suas finalidades e exigências de cumprimento, elas têm uma coisa em comum: as empresas que buscam cumprir essas leis têm uma inegável necessidade de proteger seus sistemas.

Uma empresa —seja qual for o seu setor de atividade—, para começar, deve se concentrar em garantir a implementação de um bom conjunto de controles de segurança e, depois, tudo o que precisará fazer em relação às leis dedicadas à auditoria, como a Sarbanes-Oxley e a GLBA, é documentar esses controles. Com relação à lei HIPAA, esta é uma outra história, pois não se trata de um problema de conformidade referente à auditoria. Esta lei exige que as empresas tornem operacional a sua segurança.

Seja qual for a decisão tomada pelas empresas para alcançar e manter a conformidade, estas devem ser capazes de justificar seus esforços através de documentação, relatórios confiáveis e um bom acompanhamento retrospectivo do conteúdo. “Trata-se realmente de documentação, documentação e documentação”, destaca Schawacker, “e ela pode assumir a forma de arquivar mensagens ou comunicar seu uso, além de ser necessária a capacidade de gerar algum tipo de documentação do status da configuração de controles em curtíssimo prazo.”

As empresas também devem desenvolver estratégias de gerenciamento de riscos para priorizar seus recursos e concentrá-los nas maiores ameaças às suas atividades. As equipes de segurança podem medir os riscos observando o valor dos ativos de informação, as suas vulnerabilidades e avaliando a verdadeira ameaça aos ativos em si.

Trata-se de mostrar, realmente, que você fez o melhor em relação à conformidade, explica Mark Harris, diretor de Engenharia da McAfee. “O McAfee ® ePolicy Orchestrator ® (ePO™ ) pode exibir relatórios de cobertura para garantir que todos estejam atualizados. O System Compliance Profiler (SCP), parte integrante do ePO, pode analisar as versões mais recentes dos patches instalados”, afirma. “Novamente, a questão é poder comprovar que todos os esforços estão sendo empregados para manter as suas máquinas e a sala de controle em conformidade e produzir os dados que comprovem isso.”

Parte da conformidade, acrescenta Harris, é a rastreabilidade e a capacidade de monitorar o que está e o que não está sendo comunicado. “Temos uma linha de produtos para a proteção do conteúdo da troca de mensagens. Todos os produtos compartilham algumas funções capazes de analisar o interior das mensagens de email, anexos, documentos do Word e planilhas, e extrair texto e procurar palavras-chave”, destaca Harris.

“Você pode criar regras para bloquear a saída de informações de uma empresa, ou registrar qualquer email que saia com palavras-chave ou expressões na mensagem ou no anexo”, explica Harris. “Você pode fazer isso em toda empresa, ou apenas para determinadas pessoas dentro dela.”

Schawacker acrescenta que qualquer tecnologia capaz de gerar relatórios de configuração abrangentes ajudará as empresas de serviços financeiros a atingir níveis mais altos de responsabilidade, transparência e capacidade de medição; tudo isso é essencial para a conformidade. “Em todas as leis há algum tipo de matriz de ativos que precisarão ser reunidos e a proteção de sistemas sem conformidade — que faz parte do ePO— é ótima para isso”, afirma.

A solução de gerenciamento de vulnerabilidades McAfee® Foundstone® Enterprise, outro produto da McAfee, também é importante para as iniciativas de cumprimento de leis das empresas de serviços financeiros. A solução de grande porte, criada para gerenciar e mitigar os riscos de negócios relacionados às vulnerabilidades digitais, trabalha para proteger a infra-estrutura de rede através da detecção, do inventário e da priorização de recursos, coleta de informações sobre ameaças, bem como acompanhamento e relato de correlação e resolução. O módulo Threat Correlation (Correlação de Ameaças) do Foundstone Enterprise permite que os clientes acompanhem o andamento de ameaças específicas ao longo do tempo, assegurando a conformidade com as políticas internas e de leis.

Desde a redação deste arquivo, a McAfee introduziu novos produtos com recursos semelhantes. Consulte nossa seção de produtos para obter mais informações.

Saiba Mais

Saiba como as soluções de gestão de vulnerabilidades do McAfee Foundstone Enterprise podem ajudar você a atingir a conformidade.