A cibersegurança robusta nunca foi tão importante, uma vez que os ciberataques continuam a aumentar. De facto, as violações de dados aumentaram 72% em 2023, estabelecendo um novo máximo histórico, uma vez que os malfeitores tiraram partido das vulnerabilidades expostas pelo trabalho remoto. Impulsionados pelo potencial de ganho financeiro ou de perturbação generalizada, os cibercriminosos podem ser adversários altamente motivados.
Felizmente, as empresas não são deixadas entregues a si próprias sem orientação. Os governos estão empenhados em reduzir os riscos para as empresas e os dados dos clientes, implementando regulamentos que ajudam a normalizar as defesas contra ataques. O incumprimento pode resultar em coimas significativas para a empresa no caso de uma violação de dados.
Este facto coloca os fabricantes de produtos numa situação um pouco difícil, uma vez que têm de compreender os regulamentos a que os clientes estarão sujeitos e garantir que os seus produtos estão em conformidade. Isto requer uma monitorização e vigilância contínuas, uma vez que os regulamentos podem mudar, surgir ou ser adoptados regulamentos diferentes por regiões diferentes. Os fabricantes globais precisam de se manter à frente da curva regulamentar para evitar problemas futuros com as actualizações necessárias para manter a conformidade.
Governação vs Conformidade
Do ponto de vista do cliente, a adesão aos regulamentos representa apenas o ponto de partida para a proteção de dados críticos; as organizações devem concentrar-se tanto na governação como na conformidade. Estes termos podem, por vezes, ser confundidos, porque estão intimamente ligados. A governação refere-se às políticas internas que as próprias organizações põem em prática. Estas tendem a ser superiores aos regulamentos governamentais e adaptadas ao seu perfil de risco individual e ao panorama de ameaças do sector.
Por outro lado, a conformidade representa as medidas adoptadas para garantir a adesão a estas políticas e regulamentos internos. É fundamental que estas medidas equilibrem a segurança com a experiência do utilizador, sem introduzir fricções desnecessárias nos processos. Estas medidas podem ser auditadas por terceiros e devem resistir a um exame minucioso.
Tanto a governação como a conformidade são continuamente avaliadas à medida que surgem novas ameaças e são descobertas vulnerabilidades. Como tal, os fabricantes têm a tarefa não só de ter produtos e serviços que cumpram a conformidade regulamentar, mas também de cumprir os requisitos de governação de todos os clientes.
Pensar a regulamentação a nível mundial
Infelizmente, as regulamentações não são padronizadas em todas as regiões. Os fabricantes globais de tecnologia de vigilância por vídeo são desafiados pelas diferenças nas regulamentações entre as regiões.
Por exemplo, a Comissão Européia introduziu a Diretiva de Segurança de Redes e Informações (NIS2), uma expansão da Diretiva NIS anterior. Esta diretiva visa reforçar os requisitos das infra-estruturas críticas e dos fornecedores de serviços essenciais para implementar medidas de segurança e incidentes suficientes. O incumprimento pode ter implicações financeiras e jurídicas significativas.
Em contraste com os EUA, com o Decreto Executivo 14028 sobre a melhoria da cibersegurança das nações, emitido em 2021. Esta ordem incumbe as agências federais, mas também as empresas privadas que fornecem produtos e serviços, de cumprir os regulamentos reforçados.
Outros países e regiões do mundo têm as suas próprias abordagens específicas, criando um cenário regulamentar complexo. Isto é especialmente verdadeiro se uma empresa estiver sediada num país, como os EUA, e operar a nível mundial. A empresa tem de cumprir as normas locais dos países com os quais faz negócios, ou arrisca-se a não estar em conformidade.
Para navegar com êxito pelas diferentes regulamentações de proteção de dados e cibersegurança entre regiões geográficas, é necessário um profundo conhecimento e compreensão dessas regulamentações, juntamente com as melhores práticas para proteger dados sensíveis contra ciberataques. Isto determinará que tipo de proteção de cibersegurança deve ser incorporada nos produtos para apoiar as medidas de conformidade dos próprios clientes.
Manter uma forte gestão do ciclo de vida dos produtos
Mesmo com um vasto conhecimento dos regulamentos, os fabricantes não podem perder de vista o cenário de ameaças em constante mudança. O firmware dos produtos deve ser atualizado periodicamente e de acordo com as novas vulnerabilidades. Podem surgir problemas quando os produtos antigos ainda estão a ser utilizados e que, por vezes, já não podem ser actualizados.
Por este motivo, a cibersegurança deve ser considerada como parte da gestão do ciclo de vida dos produtos. Se os produtos ultrapassarem uma certa idade, podem já não ser ciberseguros. Esta situação é complicada pela alteração da regulamentação, que também pode significar que o dispositivo já não está em conformidade. Para retificar esta situação, o fabricante pode ter de rever o software e o firmware com mais de cinco anos, o que pode ser muito difícil.
Even with extensive knowledge of the regulations, manufacturers cannot lose sight of the constantly changing threat landscape. Product firmware must be updated periodically and in line with new vulnerabilities. Problems can arise when old products are still in use and can sometimes no longer be updated.
For this reason, cybersecurity should be considered as part of product lifecycle management. If products pass a certain age, they may no longer be cybersecure. This situation is complicated by changing regulations, which can also mean that the device is no longer compliant. To rectify this situation, the manufacturer may have to revise software and firmware that is more than five years old, which can be very difficult.
Ter em mente os melhores interesses do cliente
Quando se trata de cibersegurança, é fundamental que as organizações compreendam as ameaças que enfrentam e os seus próprios riscos e vulnerabilidades, para além dos regulamentos que os seus clientes têm de cumprir.
Como fabricantes de dispositivos utilizados pelos clientes nas suas operações de segurança, ter uma abordagem global às medidas de segurança cibernética renderá dividendos. Mantém as necessidades do cliente na vanguarda, garantindo que os produtos cumprem as regulamentações mais rigorosas de diferentes mercados. Além disso, se os regulamentos existentes forem adotados em novos mercados, os produtos já estarão em conformidade. Desta forma, os fabricantes agem tendo em mente o melhor interesse do cliente e apoiam-nos nos seus objetivos de manter os seus dados seguros e protegidos.
