Chat with us, powered by LiveChat

As auditorias não resolvem problemas de segurança

As auditorias, por natureza, são voltadas para a visão posterior. Em muitos casos, isso pode ser bom (ou seja, auditoria de imposto de renda e auditorias de processo), mas no mundo da segurança cibernética e da segurança de dados, a confiança em uma auditoria externa representa um risco significativo para os negócios.

As metas de segurança e governança de dados, risco e conformidade (GRC) nunca foram alinhadas até o GDPR. O Data GRC se concentra em demonstrar (relatar) os controles sobre quem, o quê e quando os dados dentro do escopo foram acessados e não principalmente em protegê-los. As organizações precisam demonstrar conformidade e se concentrar em passar por uma auditoria - não em evitar violações de dados. Antes do GDPR, as multas monetárias por violações eram mínimas; era mais importante encontrar maneiras de passar na auditoria para que pudessem continuar operando os negócios do que reduzir o risco de violação de dados.

O GDPR mudou esse paradigma ao impor multas monetárias substanciais em caso de violação. Como resultado, as organizações agora se concentram em minimizar os riscos de perda de dados em vez de passar por uma auditoria. Afinal, não há auditoria de conformidade com o GDPR como na International Organization for Standardization (ISO). A única menção a uma auditoria no regulamento GDPR é para processamento de dados. A conformidade é autoimposta pela ameaça de uma multa severa que obriga as organizações a começarem a pensar sobre conformidade e segurança com um objetivo unificado: proteger os dados.

Padrões e regulamentações de conformidade anteriores, como ISO, Payment Card Industry (PCI), Sarbanes-Oxley (SOX) e Service Organization Control (SOC 2), para listar alguns, enfocaram a auditoria.

Para esses regulamentos, as organizações implementam os processos e controles mínimos necessários para passar na auditoria. Os controles podem ter pouco ou nenhum impacto na proteção e privacidade dos dados. A organização está apenas tentando obter conformidade por meio de uma auditoria de aprovação. O certificado atua como um cartão para sair da prisão. Se algo der errado, a organização diz: "Mas passamos em nossa auditoria. Não é nossa culpa."

As auditorias não resolvem problemas de segurança

Leia o artigo completo em Forbes.com