A segurança cibernética robusta nunca foi tão importante à medida que os ataques cibernéticos continuam a aumentar. Na verdade, as violações de dados aumentaram 72% em 2023, estabelecendo um novo recorde histórico, pois os atores maliciosos aproveitaram as vulnerabilidades expostas pelo trabalho remoto. Impulsionados pelo potencial de ganho financeiro ou perturbação generalizada, os cibercriminosos podem ser adversários altamente motivados.
Felizmente, as empresas não são deixadas à própria sorte sem orientação. Os governos estão interessados em reduzir os riscos para empresas e aos dados do cliente implementando regulamentações que ajudam a padronizar as defesas contra ataques. A não conformidade pode resultar em multas significativas para a empresa em caso de evento de violação de dados.
Isso coloca os fabricantes de produtos em uma situação difícil, pois eles precisam entender as regulamentações às quais os clientes estarão sujeitos e garantir que seus produtos estejam em conformidade. Isso requer monitoramento e vigilância contínuos, pois regulamentações podem alterar, surgir ou diferentes regulamentações podem ser adotadas por diferentes regiões. Os fabricantes globais precisam manter-se à frente da curva regulatória para evitar problemas futuros com as atualizações necessárias para manter a conformidade.
Governança vs. Conformidade
Do ponto de vista do cliente, a adesão às regulamentações representa apenas o ponto de partida para a proteção dos dados críticos; as organizações devem se concentrar tanto na governança quanto na conformidade. Às vezes, esses termos podem ser confundidos, porque estão intimamente ligados. Governança refere-se às políticas internas que as próprias organizações implementam. Estes tendem a exceder as regulamentações governamentais e a ser adaptados ao seu perfil de risco individual e ao cenário de ameaças do setor.
Por outro lado, a conformidade representa as medidas implementadas para garantir a adesão a essas políticas e regulamentações internas. É fundamental que essas medidas equilibrem a segurança com a experiência do usuário, sem introduzir atritos desnecessários aos processos. Essas medidas podem ser auditadas por terceiros e devem suportar escrutínio.
Tanto a governança quanto a conformidade são avaliadas continuamente à medida que surgem novos perigos e vulnerabilidades são descobertas. Como tal, os fabricantes são encarregados não só de ter produtos e serviços que atendam à conformidade regulatória, mas também de atender aos requisitos de governança de todo o cliente.
Pensando globalmente sobre regulamentação
Infelizmente, os regulamentos não são padronizados em todas as regiões. Os fabricantes globais de tecnologia de monitoramento por vídeo são desafiados pelas diferenças nas regulamentações entre as regiões.
Por exemplo, a Comissão Europeia introduziu a Diretiva de Segurança de Rede e Informação (NIS2), uma expansão da Diretiva NIS anterior. Esta diretiva visa reforçar os requisitos de infraestrutura crítica e prestadores de serviços essenciais para implementar medidas suficientes de segurança e incidentes. A não conformidade pode ter implicações financeiras e legais significativas.
Em contraste com os EUA, com a Ordem Executiva 14028 sobre Melhorar a segurança cibernética das Nações emitida em 2021. Isso atribui às agências federais, mas também às empresas privadas que fornecem produtos e serviços, a conformidade com os regulamentos aprimorados.
Outros países e regiões ao redor do mundo têm suas próprias abordagens específicas, criando um panorama regulatório complexo. Isso é especialmente verdade se uma empresa estiver baseada em um país, como os EUA, e operar globalmente. Eles devem aderir aos padrões locais dos países com os quais fazem negócios, ou correm o risco de não estarem em conformidade.
Navegar com sucesso pelas diferentes regulamentações de proteção de dados e segurança cibernética entre regiões geográficas começa com um profundo conhecimento e compreensão dessas regulamentações, combinados com as melhores práticas para proteger dados sensíveis contra ataque cibernético. Isso determinará que tipo de proteção de segurança cibernética deve ser incorporada aos produtos para apoiar as próprias medidas de conformidade do cliente.
Mantendo um forte gerenciamento do ciclo de vida do produto
Mesmo com um vasto conhecimento das regulamentações, os fabricantes não podem perder de vista o panorama de ameaças em constante mudança. O firmware dos produtos deve ser atualizado periodicamente e de acordo com novas vulnerabilidades. Problemas podem ser encontrados onde os produtos legados ainda estão em uso e que, às vezes, não podem mais ser atualizados.
Por esse motivo, a segurança cibernética deve ser considerada como parte do gerenciamento do ciclo de vida do produto. Se os produtos tiverem mais de uma certa idade, podem não ser mais ciberseguros. Isso é complicado ao alterar as regulamentações, o que também pode significar que o dispositivo não está mais em conformidade. Retificar isso pode exigir que o fabricante revise o software e o firmware com mais de cinco anos, o que pode ser muito difícil.
Além das quatro paredes do fabricante, outra área que precisa de atenção é a cadeia de suprimentos. Como a segurança cibernética é uma alta prioridade, as organizações dentro da cadeia de suprimento do fabricante devem ser capazes de demonstrar como abordam a segurança cibernética e a proteção de dados. Isso inclui como eles estão em conformidade com a regulamentação e por que são "seguros" para fazer negócios. Armados com esse conhecimento, os fabricantes podem ter certeza de que não estão inadvertidamente introduzindo riscos em seus produtos.
Com o cliente tomando maiores medidas para garantir que os produtos que compram estejam mais em conformidade em áreas como fornecimento de componentes, fabricação de produtos, sustentabilidade organizacional e segurança cibernética, é mais importante do que nunca que as organizações sejam transparentes.
Estar aberto sobre vulnerabilidades, fornecendo uma lista de componentes necessários no software do produto na forma de uma lista de materiais de software (SBOM)e atualizações de software, para citar alguns, constrói confiança, o que no panorama global atual é uma mercadoria importante.
Ter os melhores interesses do cliente em mente
Quando se trata de segurança cibernética, é fundamental que as organizações entendam as ameaças que enfrentam e seus próprios riscos e vulnerabilidades, além das regulamentações que seu cliente precisa cumprir.
Como fabricante de dispositivo usado pelo cliente em sua operação de segurança, uma abordagem global às medidas de segurança cibernética pagará dividendos. Mantém as necessidades do cliente na vanguarda, garantindo que os produtos aderem às regulamentações mais rigorosas de diferentes mercados. Além disso, se os regulamentos existentes forem adotados em novos mercados, os produtos já estão em conformidade, o que elimina a necessidade de atualização do firmware. Dessa maneira, os fabricantes agem com o melhor interesse do cliente em mente e os apoiam em seus objetivos de manter seus dados seguros e protegidos.
