Sala de imprensa
assinar boletim informativo

Por que a transparência é a base da confiança na segurança cibernética

7 minutos de leitura
tags:
escrito por:
Andre Bastert
Andre Bastert
Transparência é a base da confiança na segurança cibernética

Alguém sábio disse uma vez: "quantas mais pessoas você convidar para sua casa, mais arrumada ela fica". O mesmo princípio de transparência pode também ser facilmente aplicado ao mundo dos negócios. Quanto mais transparente forem os processos e a cultura de uma organização, maior a probabilidade de que ela seja disciplinada em suas operações.  A transparência é a base para se desenvolver confiança entre fornecedores, clientes e parceiros, e isso se aplica ainda mais em relação à segurança cibernética. Aqui, exploramos os fatores fundamentais que proporcionam essa transparência e, com ela, a confiança.

O indispensável de uma abordagem transparente à segurança cibernética

Os riscos e as consequências potenciais de ataques cibernéticos e violações de dados estão, certamente, no topo da agenda de todas as organizações. Empresas e instituições públicas de todos os setores não estão mais dispostas a aceitar reivindicações de valor facial de fornecedores sobre a segurança de seus produtos e soluções. De fato, em muitos países e regiões, a legislação exige que eles tenham uma percepção maior sobre a segurança dos produtos e serviços usados dentro de sua organização.

A ideia de que ocultar os detalhes e o funcionamento de um sistema é a melhor maneira de melhorar sua segurança, muitas vezes referida como "segurança por ocultação", foi amplamente desacreditada. O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) afirma que "a segurança do sistema não deve depender do sigilo da implementação ou de seus componentes".

Informações sobre as práticas de segurança de um fornecedor de tecnologia são um aspecto central na realização de avaliações de risco de fornecedores. Elas examinam o impacto potencial que os produtos de um fornecedor podem ter na rede e nos sistemas conectados do cliente e determinam se o fornecedor tem as medidas apropriadas em vigor para mitigar os riscos. 

Os clientes, portanto, exigem visibilidade total em todos os aspectos da abordagem de um fornecedor para dar suporte à segurança ideal do produto e mantê-la durante todo seu ciclo de vida. Essa demanda por transparência deve ser adotada, pois é fundamental para determinar se os produtos de um fornecedor podem suportar a própria postura de segurança de um cliente e para criar confiança entre fornecedores, parceiros e clientes. 

Os múltiplos benefícios da transparência 

Quando um fabricante de tecnologia é transparente sobre suas práticas de segurança, ele demonstra fundamentalmente um compromisso em garantir a segurança dos produtos. Isso inclui disponibilizar os recursos de segurança e configurações que permitam aos clientes usar os produtos da maneira mais segura possível para proteger seus próprios sistemas e dados.  

A transparência também permite a colaboração e o compartilhamento de informações mais eficazes com o cliente e os parceiros, possibilitando que abordem rapidamente eventuais vulnerabilidades de softwares recém-descobertas. 

Além disso, a transparência ajuda os fabricantes e clientes a aprender com incidentes de segurança passados e melhorar suas posturas gerais de segurança. Decisões informadas podem ajudar a evitar futuros incidentes e garantir a proteção contínua dos dados e informações do cliente.

Além dos requisitos das certificações de segurança cibernética

Neste contexto, as normas e certificações do setor podem fornecer uma garantia útil do compromisso de uma empresa com a segurança cibernética básica. Claramente, em lugares em que essas certificações são exigidas por lei, os fornecedores são obrigados a mostrar sua adesão a elas. Elas também são valiosas ao estabelecer uma linha de base que pode ser contratualmente vinculativa quando as empresas colaboram para fornecer serviços a seus clientes. Os clientes também podem usar evidências de certificações durante o processo de aquisição para garantir que os fabricantes abranjam os requisitos mínimos. 

No entanto, deve-se evitar o uso de certificações como uma "bala de prata" para demonstrar uma abordagem abrangente à segurança cibernética. As certificações atestam uma segurança mínima de base em um momento específico de sua adesão pela empresa, quer se trate da segurança de informações corporativas (ISO 27001, vários regulamentos de exportação de segurança cibernética etc.) ou de certificações de segurança focadas no produto (FIPS 140, ETSI EN 303.645 e várias outras normas específicas do país)

Além disso, as normas e certificações, por natureza, podem ser amplas para cobrir indústrias específicas e seus casos de uso e, portanto, nem sempre são relevantes para casos de uso especializados. Por exemplo, a IEC 62443 foca especificamente em automação industrial e sistemas de controle, que são menos relevantes para a segurança física.

Do ponto de vista comercial, as certificações e a adesão às normas podem correr o risco de serem usadas como um recurso de caixa de verificação e uma estratégia para obtenção de vantagem competitiva durante os processos de aquisição — a intenção é coletar o máximo de certificações possível para reforçar a aparência de ter uma "boa" posição de segurança cibernética. Isso é especialmente o caso se os requisitos padrão e técnicos forem "bloqueados" por trás da compra e não estiverem disponíveis gratuitamente para o público. 

Finalmente, os avanços em tecnologia, processos e produtos geralmente se movem muito mais rapidamente do que o processo de padronização, o que significa que os fabricantes que dependem apenas da certificação ficarão para trás nas inovações em tecnologia. Por exemplo, ter a criptografia de rede MACsec IEEE 802,1AE em produtos endurece significativamente a comunicação de rede, mas a tecnologia ou a melhor prática de usar MACsec para proteger redes não é especificada nos padrões atuais.

Resumindo, embora as certificações e normas tenham algum valor, elas devem ser consideradas como uma linha de base e não um alvo e, como complementares às atividades mais amplas relacionadas à cibersegurança de um fornecedor. 

Procurar por evidências de transparência

Ao considerar fornecedores, há alguns pontos de prova claros que demonstram um compromisso com a transparência no desenvolvimento de produtos e de softwares e durante todo o ciclo de vida do produto em relação à segurança cibernética. Isso inclui:

  • Fornecer aos clientes as informações sobre as atividades e medidas de segurança empreendidas ao longo do ciclo de vida do produto, desde as fases de desenvolvimento, produção e distribuição, até a implementação, serviço e descomissionamento. Essas informações também devem incluir a forma de proteção de toda cadeia de suprimento do fornecedor.   
  • Publicar políticas e práticas de segurança para o desenvolvimento de produtos e a abordagem do fornecedor à segurança interna da empresa. Ter um conjunto claro e disponível publicamente de políticas e procedimentos para proteger os dados e informações do usuário demonstra o compromisso da empresa com a segurança e a responsabilidade.  
  • Realizar regularmente avaliações e auditorias de segurança independentes para ajudar a identificar e abordar possíveis deficiências na segurança e fornecer aos clientes a garantia de que a empresa está levando a segurança a sério. Isso pode estar relacionado a avaliações em um nível organizacional, como avaliações da norma ISO/IEC 27001, ou em um nível específico do produto, como testes de penetração de terceiros.
  • Fornecer produtos que facilitem tecnicamente que terceiros, organizações e autoridades avaliem a postura de segurança dos produtos. Isso inclui não criptografar o software do dispositivo ou outras atividades para apoiar a "segurança por ocultação". O fornecimento de uma lista de materiais de software (SBOM), que relaciona os "ingredientes" que compõem cada peça de software, também é essencial. A SBOM detalha todos os componentes de fonte aberta e de terceiros presentes em um software, as licenças que regem esses componentes, as versões dos componentes usados no software e o status de quaisquer patches necessários para manter a segurança.
  • Transparência ao relatar incidentes de segurança quando eles ocorrem, tanto em relação à organização do fornecedor quanto aos seus produtos. Os fornecedores devem ter uma política de gerenciamento de vulnerabilidades clara implantada. Isso garantirá comunicações sobre a natureza do incidente, como ele foi inicialmente descoberto, as ações tomadas para abordar a vulnerabilidade (incluindo as ações exigidas pelos clientes) e as ações tomadas para evitar futuros incidentes.
  • Fornecer aos clientes e parceiros uma atualização regular sobre a postura de segurança da empresa. Informações sobre qualquer mudança nas políticas ou práticas de segurança, não só ajudam que permaneçam informados, mas, mais importante, permitem que tomem providências rapidamente para proteger seus próprios produtos, serviços e processos. Além disso, permitir que o cliente e os parceiros assinem um serviço de notificação de segurança dá a eles a oportunidade de responder a problemas de segurança de maneira oportuna.
  • Encorajar ativamente clientes e pesquisadores a relatar potenciais vulnerabilidades de segurança descobertas ajudará a empresa a identificar e abordar potenciais problemas antes que possam ser explorados. Fazer parte do programa CVE para divulgar IDs de CVE e também estabelecer um programa de recompensas para bugs demonstra a maturidade e transparência da segurança cibernética do fornecedor e a confiança em seus processos de desenvolvimento seguros. 
  • Apoiar o cliente em um processo proativo de gerenciamento do ciclo de vida do produto, permitindo que ele planeje o descomissionamento e a substituição do produto. O essencial para isso é detalhar a data final do suporte para o software do dispositivo o mais cedo possível, idealmente logo após o lançamento do produto.  

Cada fornecedor deve se comprometer a fazer tudo o que puder para oferecer produtos que atendam aos requisitos de segurança cibernética de um cliente. Certificações e normas vão apenas até certo ponto. A transparência é essencial. Práticas e políticas publicadas, avaliações e auditorias de segurança independentes regulares e divulgações abertas sobre incidentes de segurança são maneiras mais confiáveis de construir confiança no compromisso de um fornecedor com a proteção de dados e o fornecimento de produtos com forte segurança cibernética.

Mais informações sobre nossa abordagem à segurança cibernética podem ser encontradas aqui.
Segurança cibernética

Andre Bastert

Andre Bastert é Global Product Manager na Axis Communications. Ele é responsável pela plataforma de software AXIS OS que capacita os dispositivos de rede AXIS. Andre se concentra em tudo sobre segurança cibernética, integração de infraestrutura/segurança de TI e o aspecto de gestão do ciclo de vida do software de nossos produtos. Andre iniciou sua carreira na Axis em 2014 em serviços técnicos. Antes de assumir seu cargo atual, ele trabalhou como especialista de produto para câmera PTZ e AXIS OS. Quando não está trabalhando, Andre passa tempo com sua família e gosta de reformas em um verdadeiro espírito de faça-você-mesmo.

Ler mais postagens de Andre
Andre Bastert
To top