As ameaças à segurança cibernética aumentaram significativamente desde março de 2020, quando grande parte da economia foi forçada a estar online para nos ajudar a lidar com a crise do Covid, incluindo vários ataques cibernéticos que partiram de grupos criminosos internacionais. Em junho passado, o diretor do FBI, Christopher Wray, comparou o perigo de ataques de ransomware a empresas americanas por grupos criminosos russos, aos ataques terroristas de 11 de setembro. Quando Biden e Putin se encontraram em Genebra algumas semanas depois, o controle de armas cibernéticas estava no topo da agenda, um ponto anteriormente ocupado pelo controle de armas nucleares.
Está claro, já há algum tempo que, em um mundo cada vez mais governado por dados e transações digitais, nossos métodos de segurança cibernética existentes estão longe de serem adequados. Para ampliar os debates sobre essa área tão importante, o CAMS, uma iniciativa interdisciplinar de segurança cibernética do MIT, em um seminário recente, apresentou informações muito interessante sobre conformidade e segurança cibernética da afiliada de pesquisa do CAMS, Angelica Marotta. Seu seminário foi baseado em Convergência e divergência de conformidade regulatória e segurança cibernética, um artigo recente que ela escreveu em coautoria com o professor do MIT Stuart Madnick.
Na abertura do seminário, Marotta incluiu definições de segurança cibernética e conformidade que destacam seus diferentes objetivos:
- A área de segurança cibersegurança é responsável pelos “procedimentos internos estabelecidos por uma empresa para melhorar a segurança de suas operações”.
- A área de conformidade é responsável pelas “regulamentações externas estabelecidas por governos ou grupos industriais que devem ser cumpridas”.
Hoje, para ter sucesso, toda organização precisa estar em conformidade e ter cibersegurança. Mas, até que ponto a conformidade ajuda ou atrapalha a segurança de uma organização, continua sendo uma questão muito importante.
A conformidade regulatória é um tópico extenso que varia de acordo com o setor e a localização geográfica.
“Compliance em relação à segurança cibernética é uma disciplina relativamente recente que se concentra nos processos e comportamentos das pessoas que visam prevenir e reduzir riscos em diferentes áreas e indústrias”, escreveram Marotta e Madnick em seu artigo. “A necessidade de regulamentação da segurança cibernética decorre principalmente do desejo de certeza no que é percebido como um campo imprevisível.”
“Os últimos anos foram muito críticos para muitas empresas em relação às suas necessidades de segurança cibernética”, acrescentaram. “Os recentes eventos cibernéticos – em vários setores – expuseram circunstâncias em que a má gestão regulatória e regulamentações ineficazes contribuíram para consequências negativas significativas. O aumento da conscientização gerou conversas sobre a importância de estar em conformidade com os padrões atuais de segurança cibernética.”
Estar em conformidade não é necessariamente o mesmo que estar seguro.
A conformidade, por si só, não substitui um programa eficaz de segurança cibernética. Para entender o impacto dos fatores de conformidade na segurança cibernética em diferentes setores, Marotta e Madnick conduziram oito estudos de caso de empresas americanas e europeias de 5 setores: serviços financeiros, biofarmacêuticos, serviços públicos, eletricidade e comunicações. Os oito estudos de caso e sua metodologia de pesquisa são descritos em detalhes no artigo.
Os dados para esses estudos de caso foram coletados por meio de entrevistas com membros do C-suite, especialistas no assunto e funcionários em diferentes partes da organização, bem como com reguladores, para capturar suas percepções e experiências. As entrevistas forneceram perspectivas sobre procedimentos e questões do ponto de vista dos reguladores e das organizações reguladas.
Como primeiro passo para cada estudo de caso, foram identificaram as principais partes interessadas que podem afetar ou são afetadas pelo sistema regulatório. Embora existam vários tipos diferentes de partes interessadas, foram eleitas as que geralmente se enquadram em uma das seis categorias:
- Jurídico e conformidade incluem os “executores internos” que lidam com a supervisão do gerenciamento de conformidade, obrigações legais, auditorias internas e desenvolvimento de políticas; e os “executores externos” como reguladores, governos, associações industriais, auditores externos e instituições financeiras.
- Liderança e governança incluem as principais pessoas que lidam com o alinhamento dos requisitos de conformidade com as necessidades de negócios, riscos organizacionais, processos, projetos e pessoas.
- Profissionais de segurança ajudam as organizações a traduzir a conformidade em segurança real e incluem CISOs, gerentes de segurança de TI, analistas de segurança de TI, gerentes de suporte de TI e gerentes de risco.
- Profissionais de finanças, CFOs, gerentes financeiros, gerentes de orçamentos, que estão responsáveis por decidir como investir dinheiro de maneira consistente e em conformidade, em segurança cibernética.
- Countries Managers e outros atores, que não os do governo nacional e local, – como organizações intergovernamentais e não governamentais, organizações privadas e indivíduos – todos interagem de maneiras a promover regulamentos e acordos.
- Partes Internacionais interessadas, que incluem uma variedade de governos, ONGs e organizações privadas, que se esforçam para desenvolver uma estrutura de conformidade regulatória global realista.
“É importante notar que as partes interessadas geralmente têm objetivos e prioridades diferentes, muitas vezes conflitantes, dependendo de sua perspectiva de conformidade e do papel que desempenham”, disseram os autores. “A maioria das questões derivadas da análise dos casos, surgem quando os interesses das categorias de partes interessadas não são adequadamente equilibrados ou harmonizados.”
Depois de analisar as várias questões que surgiram em cada estudo de caso, Marotta e Madnick identificaram cinco problemas principais:
Má supervisão e gerenciamento de conformidade. “Os problemas de gerenciamento mais comuns enfrentados pelas organizações, envolvem lidar com vários regimes de conformidade e coordenar ações internas e externas para relatar os resultados de conformidade. … Há um equilíbrio muito delicado na relação entre as necessidades regulatórias e da indústria. … Essa divergência decorre da falta de conhecimento que está disponível para os auditores em oposição àqueles que realmente trabalham nos sistemas.”
Dificuldade em desenvolver e implementar regulamentos. “Regulações excessivamente complexas e numerosas contribuem para o aumento do desalinhamento entre as metas regulatórias e de segurança. … A maioria dos participantes relatou uma experiência geralmente negativa em relação à interpretação correta dos requisitos de conformidade. Os exemplos mais comuns incluíram problemas associados a informações regulatórias fragmentadas ou pouco claras, regulamentos desatualizados e linguagem excessivamente técnica”.
Alocação adequada de recursos e orçamento. “Os orçamentos e os recursos necessários para as funções de conformidade estão profundamente interligados em uma organização… um desafio de conformidade significativo que as organizações enfrentam é equilibrar os orçamentos diante do aumento dos custos de conformidade e segurança cibernética. … O principal problema está no fato de que as organizações não conseguem implementar uma estratégia abrangente de orçamento e avaliação de risco.”
Falta de cultura de compliance. “Papéis e responsabilidades organizacionais pouco claros parecem desempenhar um papel significativo em todos os casos. … Alinhar os funcionários à cultura de conformidade é do interesse de todas as organizações, mas pode haver dificuldades em alocar responsabilidades para estabelecer uma cultura que incentive a implementação bem-sucedida de regulamentos. … O papel do conselho é fundamental para o sucesso a longo prazo de um programa de compliance.”
Implicações geográficas causam alto risco sistêmico. “As regulamentações têm um impacto único nas organizações e nos atores globais ligados às suas operações. … Embora a maioria das regulamentações seja gerenciada localmente, seu escopo e impacto podem ser globais.” Portanto, é importante equilibrar os requisitos globais com as necessidades locais ou organizacionais.
“Depois de realizar a análise comparativa, uma maneira de analisar o complicado dilema segurança cibernética versus conformidade é que conformidade e segurança cibernética são ‘falhas’, mas por razões diferentes”, escreveram os autores. “A cibersegurança e a conformidade têm objetivos semelhantes em relação à proteção de dados e ativos por meio do gerenciamento de riscos. Ambos tratam de medidas e controles para reduzir o risco. No entanto, os casos sugerem que a conformidade é impulsionada principalmente pelo risco de aplicação, enquanto a segurança cibernética geralmente é impulsionada pelo risco comercial.”
Marotta terminou sua apresentação com três recomendações concretas para ajudar a resolver esses vários problemas e questões:
- Impulsione a harmonização nos níveis organizacional local e internacional, estabelecendo estruturas que mapeiam vários requisitos de conformidade.
- Tenha uma visão realista dos riscos aceitáveis ao analisar exposições, penalidades legais, questões comerciais / financeiras e segurança cibernética.
- Alinhe os interesses de todas as partes interessadas em programas que não apenas fortalecem a segurança cibernética, mas também integram conformidade e segurança à cultura da organização.
