Agora, mais do que nunca, as equipas de tecnologia e de conformidade têm de trabalhar em conjunto para proteger a integridade das suas organizações. As informações sensíveis são armazenadas e transferidas em formato digital e os regulamentos associados estão a tornar-se cada vez mais rigorosos e complexos. Enquanto a conformidade é responsável pela identificação dos regulamentos relativos à segurança da informação, as equipas de tecnologia devem identificar e implementar as soluções mais fortes para cumprir esses regulamentos.
O Active Directory é uma aplicação fundamental para manter a conformidade porque funciona como uma janela para as actividades e políticas de TI de uma organização - tem de ser protegido para manter a integridade e a conformidade da empresa. Qualquer empresa que lide com dados sensíveis de clientes, tais como registos financeiros ou de saúde, tem de garantir a segurança do seu ambiente Active Directory e efectuar auditorias regulares para detectar riscos de segurança da informação. Quando não são activamente monitorizadas, as contas de utilizador obsoletas e os controlos pouco rigorosos do acesso administrativo constituem ameaças à segurança do Active Directory e colocam as organizações em risco de não conformidade.
Conformidade com a segurança da informação
As regulamentações, como a SOX e a HIPAA, foram criadas para proteger os consumidores e os accionistas, exigindo que as organizações auditem o Active Directory quanto a comportamentos suspeitos, protejam os registos digitais contra utilização indevida e protejam as informações privadas dos clientes. Embora a regulamentação específica possa variar consoante o sector, a regra geral é a mesma: estabelecer procedimentos e controlos que protejam as informações sensíveis da sua empresa. Com tantas leis para cumprir, é difícil saber quais os regulamentos que se aplicam à sua empresa, pelo que descodificámos os acrónimos dos regulamentos para tornar a conformidade um pouco mais fácil de seguir.
SOX: S de Shareholder (accionista ) - A Lei Sarbanes-Oxley (SOX) obriga qualquer empresa pública a estabelecer procedimentos para proteger os registos financeiros contra a destruição, perda e utilização indevida, a fim de proteger os accionistas da empresa e diminuir a possibilidade de fraude empresarial. A SOX também obriga a empresa a efectuar auditorias e a elaborar relatórios sobre estes controlos.
PCI: P de Pagamentos - O regulamento da Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) estabelece que qualquer empresa que aceite pagamentos com cartão, através do armazenamento, processamento e transmissão de dados do titular do cartão, deve alojar estes dados de forma segura utilizando um fornecedor de alojamento compatível com a PCI. Para estar em conformidade com a PCI, tem de monitorizar todo o acesso aos recursos da rede, testar regularmente os sistemas de segurança e manter uma política de segurança da informação.
GLBA: GL is for Gives Loans - A Lei Gramm-Leach-Bliley (GLBA), também conhecida como a Lei de Modernização Financeira de 1999, controla a forma como as instituições financeiras tratam as informações privadas dos clientes. A Regra de Salvaguardas da GLBA exige que todas as instituições financeiras criem, executem e mantenham salvaguardas para proteger as informações dos clientes. De acordo com a Regra de Salvaguardas, as instituições financeiras devem identificar os riscos operacionais para os dados dos clientes, implementar um programa de segurança da informação e auditar regularmente o programa de salvaguardas.
HIPAA: H is for Health - HIPAA, Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade dos Seguros de Saúde), foi inicialmente criada para proteger a cobertura dos cuidados de saúde para as pessoas que perdem ou mudam de emprego e evoluiu agora para um conjunto de normas para proteger os dados dos doentes. A HIPAA determina que qualquer empresa que lide com informações de saúde protegidas (PHI) implemente e cumpra medidas de segurança físicas, de rede e de processo. As PHI transmitidas electronicamente, ou e-PHI, estão protegidas pela Regra de Segurança da HIPAA e as organizações devem proteger estas informações identificando e protegendo-as contra ameaças.
FISMA: F de Federal Government (Governo Federal ) - O Federal Information Security Management Act (FISMA) foi criado pelo Department of Homeland Security (Departamento de Segurança Interna) para proteger a informação, as operações e os activos do governo contra todas as ameaças, naturais ou provocadas pelo homem. Também estabelece que as agências governamentais devem implementar ferramentas para auditar os seus programas de segurança da informação, testar procedimentos de segurança e efectuar avaliações de risco periódicas.
Auditoria e conformidade do Active Directory
Independentemente do setor, regulamentações como essas exigem que as organizações monitorem seu ambiente de TI para detectar e corrigir possíveis ameaças. O Semperis Active Directory State Manager (ADSM) ajuda as organizações a manter a conformidade por meio de auditoria em tempo real e relatórios sobre possíveis lacunas, incluindo:
- Auditoria das alterações ao Active Directory - As auditorias governamentais exigem que as organizações saibam que alterações estão a ser feitas e quem as está a fazer.
- Identificar contas activadas inactivas - As contas obsoletas e não utilizadas representam um risco para a segurança do Active Directory porque podem ser exploradas e utilizadas como vectores de violação.
- Acompanhamento de contas de utilizadores sensíveis e privileg iados - O acompanhamento de modificações em contas de utilizadores sensíveis e privilegiados permite-lhe garantir que a sua empresa está a cumprir as políticas de segurança da informação implementadas como parte dos regulamentos de segurança da informação.
A maioria destes regulamentos de segurança da informação foi criada na sequência da crise financeira e dos escândalos empresariais que ocorreram no início do século. À medida que os ciberataques aumentam em frequência e escala, e à luz das grandes violações ocorridas no último ano, as organizações tornaram-se mais sensíveis às questões de cibersegurança. Estão a ser estabelecidas novas regulamentações para garantir que as empresas estão a implementar medidas de cibersegurança para proteger dados sensíveis contra violações de dados. Para se antecipar, é essencial começar a auditar activamente o Active Directory e proteger contra ameaças e corrigi-las.