Uma cibersegurança robusta nunca foi tão importante à medida que os ciberataques continuam a aumentar. Na verdade, as violações de dados aumentaram 72% em 2023, definindo um novo recorde histórico, à medida que os atores maliciosos aproveitaram as vulnerabilidades expostas pelo trabalho remoto. Impulsionados pelo potencial de ganho financeiro ou perturbação generalizada, os cibercriminosos podem ser adversários altamente motivados.
Felizmente, as empresas não estão totalmente sozinhas e sem orientação para se defenderem. Os governos estão interessados em reduzir os riscos para as empresas e os dados dos clientes, implementando regulamentos que ajudam a padronizar as defesas contra ataques. O incumprimento pode resultar em multas significativas para a empresa em caso de violação de dados.
Isto coloca os fabricantes de produtos numa situação complicada, uma vez que têm de compreender os regulamentos a que os clientes estarão sujeitos e garantir que os respetivos produtos estão em conformidade. Isto requer monitorização e vigilância contínuas, pois os regulamentos podem alterar-se, surgir inesperadamente ou podem existir diferentes regulamentos adotados por diferentes regiões. Os fabricantes globais têm de manter-se à frente da curva regulamentar para evitar problemas futuros com as atualizações necessárias para manter a conformidade.
Governação vs. Conformidade
Do ponto de vista do cliente, a adesão aos regulamentos representa apenas o ponto de partida para proteger dados críticos; as organizações devem focar-se tanto na governação como na conformidade. Por vezes, estes termos podem ser confundidos, porque estão intimamente ligados. Governação refere-se às políticas internas que as próprias organizações implementam. Estes tendem a exceder os regulamentos governamentais e a ser adaptados ao seu perfil de risco individual e ao panorama de ameaças do setor.
Por outro lado, a conformidade representa as medidas implementadas para garantir o cumprimento destas políticas e regulamentos internos. É essencial que estas medidas equilibrem a segurança com a experiência do utilizador, sem introduzir fricção desnecessária nos processos. Estas medidas podem ser auditadas por terceiros e devem suportar o escrutínio.
Tanto a governação como a conformidade são continuamente avaliadas à medida que surgem novas ameaças e são descobertas vulnerabilidades. Como tal, os fabricantes têm a tarefa não só de ter produtos e serviços que cumpram a conformidade regulamentar, mas também de cumprir os requisitos de governação de todos os clientes.
Pensar globalmente na regulamentação
Infelizmente, os regulamentos não são iguais em todas as áreas geográficas. Os fabricantes globais de tecnologia de videovigilância são desafiados pelas diferenças nos regulamentos entre as regiões.
Por exemplo, a Comissão Europeia introduziu a Diretiva de Segurança da Rede e da Informação (NIS2), uma extensão da Diretiva NIS anterior. Esta diretiva visa reforçar os requisitos das infraestruturas críticas e dos prestadores de serviços essenciais no sentido de implementar medidas de segurança e de incidente suficientes. O incumprimento pode ter implicações financeiras e legais significativas.
Compare com os EUA, com a Ordem Executiva 14028 sobre a Melhoria da Cibersegurança das Nações, emitida em 2021. Isto obriga as agências federais, mas também as empresas privadas que fornecem produtos e serviços, a cumprirem os regulamentos reforçados.
Outros países e regiões por todo o mundo têm as suas próprias abordagens específicas, criando um panorama regulamentar complexo. Isto é especialmente verdade se uma empresa estiver sediada num país, como os EUA, e operar globalmente. Devem aderir às normas locais dos países com os quais fazem negócios, ou correm o risco de não estarem em conformidade.
Navegar com sucesso pelas diferentes regulamentações de proteção de dados e cibersegurança entre geografias começa com um conhecimento profundo e a compreensão destas regulamentações, juntamente com as melhores práticas para proteger dados sensíveis contra ciberataques. Isto irá determinar que tipo de proteção de cibersegurança deve ser incorporada nos produtos para apoiar as próprias medidas de conformidade dos clientes.
Manter uma gestão sólida do ciclo de vida do produto
Mesmo com um vasto conhecimento dos regulamentos, os fabricantes não podem perder de vista o panorama de ameaças em constante mudança. O firmware nos produtos deve ser atualizado periodicamente e em linha com novas vulnerabilidades. Podem ocorrer problemas quando os produtos legados ainda estão a ser utilizados e, por vezes, já não podem ser atualizados.
Por este motivo, a cibersegurança deve ser considerada como parte da gestão do ciclo de vida do produto. Se os produtos tiverem mais de uma determinada idade, podem deixar de ser ciberseguros. Isto é complicado devido às alteração nos regulamentos, o que também pode significar que o dispositivo já não está em conformidade. A correção desta situação pode exigir que o fabricante reveja o software e o firmware com mais de cinco anos, o que pode ser muito difícil.
Para além das quatro paredes do fabricante, outra área que necessita de atenção é a cadeia de distribuição. Como a cibersegurança é uma prioridade elevada, as organizações na cadeia de distribuição do fabricante devem ser capazes de demonstrar como abordam a cibersegurança e a proteção de dados. Isto inclui como estão em conformidade com a regulamentação e por que razão são "seguros" para fazer negócios. Com este conhecimento, os fabricantes podem ter a certeza de que não estão inadvertidamente a introduzir riscos nos seus produtos.
Com os clientes a tomarem maiores medidas para garantir que os produtos que compram são mais compatíveis em áreas como a aquisição de componentes, o fabrico de produtos, a sustentabilidade da organização e a cibersegurança, é mais importante do que nunca que as organizações sejam transparentes.
Estar aberto relativamente às vulnerabilidades, o fornecimento de uma lista de componentes necessários no software do produto sob a forma de uma Lista de Materiais de Software (SBOM) e as atualziações de software, para mencionar alguns, cria confiança, o que, no panorama global atual, é um bem importante.
Ter em mente os melhores interesses do cliente
Quando se trata de cibersegurança, é fundamental que as organizações compreendam as ameaças que enfrentam e os seus próprios riscos e vulnerabilidades, além dos regulamentos que os seus clientes precisam de cumprir.
Enquanto fabricantes de dispositivos utilizados pelos clientes nas suas operações de segurança, ter uma abordagem global às medidas de cibersegurança trará dividendos. Mantém as necessidades do cliente na vanguarda, garantindo que os produtos cumprem os regulamentos mais rigorosos dos diferentes mercados. Além disso, se os regulamentos existentes forem adotados em novos mercados, os produtos já estão em conformidade. Desta forma, os fabricantes atuam tendo em mente o melhor interesse do cliente e apoiam-no nos seus objetivos de manter os seus dados seguros e protegidos.
