Por que as Atestações São Apenas Uma Parte do Seu Programa de Segurança na Nuvem

Steven Murray

5 de jul. de 2017

Email

1 min read

Por que as Atestações São Apenas Uma Parte do Seu Programa de Segurança na Nuvem

Principais Conclusões

    • Atestados por si só não garantem segurança. Eles confirmam que certos padrões são atendidos, mas não que os controles estão funcionando ou monitorados adequadamente.

    • A prontidão operacional importa mais do que a certificação. Uma empresa pode passar por uma auditoria enquanto suas ferramentas de segurança—como sistemas IDS/IPS—não estão funcionando.

    • Auditores frequentemente verificam a existência, não o desempenho. Muitos atestados avaliam se os sistemas existem, não se estão configurados corretamente ou mantidos ativamente.

    • Um forte programa de segurança em nuvem mistura conformidade com monitoramento contínuo. Atestados fornecem uma linha de base de conformidade, mas testes e avaliações contínuas garantem proteção real.

    • Testes de penetração de terceiros revelam vulnerabilidades reais. Eles oferecem insights mais profundos do que pesquisas ou listas de verificação, validando que as medidas de segurança funcionam em condições do mundo real.

    • Avaliações de fornecedores devem considerar o acesso aos dados e a exposição a riscos. Parceiros que lidam com informações sensíveis merecem escrutínio mais rigoroso e revisão regular.

    • Uma segurança eficaz requer transparência. Organizações maduras compartilham voluntariamente políticas, estruturas de resposta a incidentes e procedimentos de gerenciamento de vulnerabilidades.

Destaques de Perguntas e Respostas

  • Por que as atestações não são uma medida confiável de maturidade em segurança?

    Porque eles apenas provam que os controles exigidos existem, não que funcionam. A verdadeira maturidade em segurança envolve validação contínua, monitoramento e capacidade de resposta a ameaças.

  • Qual é uma falha comum em confiar exclusivamente em verificações de conformidade?

    As organizações podem implementar ferramentas apenas para "cumprir tabela". Por exemplo, um IDS pode ser instalado, mas não configurado para detectar ou alertar sobre ameaças.

  • O que você deve revisar além das declarações ao avaliar um fornecedor?

    Sempre examine o relatório completo de descobertas (não apenas o resumo), pergunte sobre os testes de penetração anuais e solicite acesso à documentação de segurança essencial.

  • Como os testes de terceiros podem melhorar um programa de segurança?

    Testes de penetração simulam ataques do mundo real, revelando fraquezas que auditorias de conformidade ignoram, garantindo que as defesas funcionem como pretendido.

  • O que define um programa de segurança em nuvem maduro?

    Uma abordagem equilibrada que combina atestações, monitoramento contínuo, estratégias de proteção de dados, prontidão para resposta a incidentes e gerenciamento proativo de vulnerabilidades.

  • Como você deve avaliar as posturas de segurança dos fornecedores?

    Avalie com base na sensibilidade dos dados que eles acessam—os fornecedores que lidam com dados de clientes devem atender a padrões de segurança mais elevados e passar por revisões regulares.

As pessoas costumam me perguntar o que faz um bom programa de segurança. Apesar de eu gostar de apontar um aspecto do meu perímetro de segurança como exemplo, há múltiplos itens a serem destacados.

Atestados Não Medem Sempre sua Postura Defensiva

Uma atestado, por definição, é uma indicação que torna algo evidente. No caso da segurança, especificamente programas de segurança, significa certificar em uma capacidade oficial.

As pessoas costumam me perguntar o que faz um bom programa de segurança. Por mais que eu gostaria de apontar para um aspecto do meu perímetro de segurança como exemplo, há vários itens a serem destacados. A indústria depende de atestados e certificações para medir suas defesas de segurança. Engenheiros e operadores dirão que seu perímetro de segurança real e as capacidades de avaliação de ameaças definem seu programa de segurança. Eu diria que são tanto os atestados de conformidade como uma medida quanto as capacidades operacionais de sua equipe de segurança que definem seu programa. Embora atestados isoladamente não sejam um indicador preciso para medir um programa.

Atestados são uma necessidade da indústria para garantir conformidade com estatutos federais, locais e estaduais, bem como com as melhores práticas do setor. Padrões da ISO, NIST ou DoD formam a base da maioria dos atestados. O NIST, por exemplo, publica um conjunto de padrões e guias técnicos para ajudar organizações a construir defesas de perímetro que são “aceitáveis” para o governo. Como vou delinear, no entanto, só porque os padrões são definidos, não significa que a implementação seja sempre exemplar.

Uma atestado, por definição, é uma indicação que torna algo evidente. No caso da segurança, especificamente programas de segurança, significa certificar em uma capacidade oficial.

As pessoas costumam me perguntar o que faz um bom programa de segurança. Por mais que eu gostaria de apontar para um aspecto do meu perímetro de segurança como exemplo, há vários itens a serem destacados. A indústria depende de atestados e certificações para medir suas defesas de segurança. Engenheiros e operadores dirão que seu perímetro de segurança real e as capacidades de avaliação de ameaças definem seu programa de segurança. Eu diria que são tanto os atestados de conformidade como uma medida quanto as capacidades operacionais de sua equipe de segurança que definem seu programa. Embora atestados isoladamente não sejam um indicador preciso para medir um programa.

Atestados são uma necessidade da indústria para garantir conformidade com estatutos federais, locais e estaduais, bem como com as melhores práticas do setor. Padrões da ISO, NIST ou DoD formam a base da maioria dos atestados. O NIST, por exemplo, publica um conjunto de padrões e guias técnicos para ajudar organizações a construir defesas de perímetro que são “aceitáveis” para o governo. Como vou delinear, no entanto, só porque os padrões são definidos, não significa que a implementação seja sempre exemplar.

Uma atestado, por definição, é uma indicação que torna algo evidente. No caso da segurança, especificamente programas de segurança, significa certificar em uma capacidade oficial.

As pessoas costumam me perguntar o que faz um bom programa de segurança. Por mais que eu gostaria de apontar para um aspecto do meu perímetro de segurança como exemplo, há vários itens a serem destacados. A indústria depende de atestados e certificações para medir suas defesas de segurança. Engenheiros e operadores dirão que seu perímetro de segurança real e as capacidades de avaliação de ameaças definem seu programa de segurança. Eu diria que são tanto os atestados de conformidade como uma medida quanto as capacidades operacionais de sua equipe de segurança que definem seu programa. Embora atestados isoladamente não sejam um indicador preciso para medir um programa.

Atestados são uma necessidade da indústria para garantir conformidade com estatutos federais, locais e estaduais, bem como com as melhores práticas do setor. Padrões da ISO, NIST ou DoD formam a base da maioria dos atestados. O NIST, por exemplo, publica um conjunto de padrões e guias técnicos para ajudar organizações a construir defesas de perímetro que são “aceitáveis” para o governo. Como vou delinear, no entanto, só porque os padrões são definidos, não significa que a implementação seja sempre exemplar.

O lançamento de uma ferramenta não significa que ela está proporcionando valor

Os controles permitem flexibilidade na implementação e no crescimento operacional e inovação ao longo do tempo. Infelizmente, algumas organizações usam a flexibilidade apenas para "marcar a caixa", mas não têm defesas reais em vigor.

Um exemplo claro desse problema são os sistemas de detecção/proteção contra intrusões (IDS ou IPS). Como os scanners de vírus, a maioria das organizações investe em IDS/IPS como uma prática padrão de segurança para se proteger contra tráfego malicioso e exfiltração de dados. A indústria está repleta de fornecedores que oferecem várias formas de sistemas IDS/IPS. No entanto, algumas organizações constroem sistemas em vez de comprá-los.

Recentemente, deixei uma dessas organizações que “construiu” seu próprio sistema de detecção de intrusões a partir de ferramentas de código aberto. Os auditores foram informados de que o sistema era uma “ferramenta fantástica” e até receberam exemplos de tráfego. Quando examinei mais a fundo a telemetria que a ferramenta estava fornecendo, percebi que o tráfego não estava sendo analisado de forma alguma. Na verdade, estava passando pelo sensor, pois não estava configurado para capturar nenhum tráfego ou emitir alertas. Além disso, as credenciais usadas para administrar a ferramenta foram configuradas por um ex-funcionário e nunca foram atualizadas após sua saída. Portanto, essencialmente, a ferramenta estava parada por meses sem qualquer intervenção humana. Isso não apenas coloca a empresa em risco, mas também compromete o perímetro.

Um auditor experiente não teria identificado o problema porque as atestações não buscam informações “operacionais” em todos os sistemas – o padrão é literalmente uma camada de perguntas e respostas. De fato, a maioria das atestações mede simplesmente se a ferramenta existe, não sua viabilidade operacional. Além disso, a maioria dos auditores não é técnica o suficiente para distinguir um IDS/IPS funcional de um não funcional. O núcleo da auditoria depende da empresa em apresentar sua melhor versão, em vez de responder a perguntas difíceis. Os auditores também precisam cobrir uma vasta gama de controles durante uma auditoria, portanto, o tempo é um fator importante na qualidade de sua análise.

Uma atestação sozinha dirá que uma empresa possui um programa de segurança maduro com controles. Exigir que um potencial parceiro complete uma pesquisa de fornecedor também não lhe dará confiança. Pesquisas apenas descrevem as mesmas informações em um formato diferente. Então, como você avalia um programa de segurança maduro?

Os controles permitem flexibilidade na implementação e no crescimento operacional e inovação ao longo do tempo. Infelizmente, algumas organizações usam a flexibilidade apenas para "marcar a caixa", mas não têm defesas reais em vigor.

Um exemplo claro desse problema são os sistemas de detecção/proteção contra intrusões (IDS ou IPS). Como os scanners de vírus, a maioria das organizações investe em IDS/IPS como uma prática padrão de segurança para se proteger contra tráfego malicioso e exfiltração de dados. A indústria está repleta de fornecedores que oferecem várias formas de sistemas IDS/IPS. No entanto, algumas organizações constroem sistemas em vez de comprá-los.

Recentemente, deixei uma dessas organizações que “construiu” seu próprio sistema de detecção de intrusões a partir de ferramentas de código aberto. Os auditores foram informados de que o sistema era uma “ferramenta fantástica” e até receberam exemplos de tráfego. Quando examinei mais a fundo a telemetria que a ferramenta estava fornecendo, percebi que o tráfego não estava sendo analisado de forma alguma. Na verdade, estava passando pelo sensor, pois não estava configurado para capturar nenhum tráfego ou emitir alertas. Além disso, as credenciais usadas para administrar a ferramenta foram configuradas por um ex-funcionário e nunca foram atualizadas após sua saída. Portanto, essencialmente, a ferramenta estava parada por meses sem qualquer intervenção humana. Isso não apenas coloca a empresa em risco, mas também compromete o perímetro.

Um auditor experiente não teria identificado o problema porque as atestações não buscam informações “operacionais” em todos os sistemas – o padrão é literalmente uma camada de perguntas e respostas. De fato, a maioria das atestações mede simplesmente se a ferramenta existe, não sua viabilidade operacional. Além disso, a maioria dos auditores não é técnica o suficiente para distinguir um IDS/IPS funcional de um não funcional. O núcleo da auditoria depende da empresa em apresentar sua melhor versão, em vez de responder a perguntas difíceis. Os auditores também precisam cobrir uma vasta gama de controles durante uma auditoria, portanto, o tempo é um fator importante na qualidade de sua análise.

Uma atestação sozinha dirá que uma empresa possui um programa de segurança maduro com controles. Exigir que um potencial parceiro complete uma pesquisa de fornecedor também não lhe dará confiança. Pesquisas apenas descrevem as mesmas informações em um formato diferente. Então, como você avalia um programa de segurança maduro?

Os controles permitem flexibilidade na implementação e no crescimento operacional e inovação ao longo do tempo. Infelizmente, algumas organizações usam a flexibilidade apenas para "marcar a caixa", mas não têm defesas reais em vigor.

Um exemplo claro desse problema são os sistemas de detecção/proteção contra intrusões (IDS ou IPS). Como os scanners de vírus, a maioria das organizações investe em IDS/IPS como uma prática padrão de segurança para se proteger contra tráfego malicioso e exfiltração de dados. A indústria está repleta de fornecedores que oferecem várias formas de sistemas IDS/IPS. No entanto, algumas organizações constroem sistemas em vez de comprá-los.

Recentemente, deixei uma dessas organizações que “construiu” seu próprio sistema de detecção de intrusões a partir de ferramentas de código aberto. Os auditores foram informados de que o sistema era uma “ferramenta fantástica” e até receberam exemplos de tráfego. Quando examinei mais a fundo a telemetria que a ferramenta estava fornecendo, percebi que o tráfego não estava sendo analisado de forma alguma. Na verdade, estava passando pelo sensor, pois não estava configurado para capturar nenhum tráfego ou emitir alertas. Além disso, as credenciais usadas para administrar a ferramenta foram configuradas por um ex-funcionário e nunca foram atualizadas após sua saída. Portanto, essencialmente, a ferramenta estava parada por meses sem qualquer intervenção humana. Isso não apenas coloca a empresa em risco, mas também compromete o perímetro.

Um auditor experiente não teria identificado o problema porque as atestações não buscam informações “operacionais” em todos os sistemas – o padrão é literalmente uma camada de perguntas e respostas. De fato, a maioria das atestações mede simplesmente se a ferramenta existe, não sua viabilidade operacional. Além disso, a maioria dos auditores não é técnica o suficiente para distinguir um IDS/IPS funcional de um não funcional. O núcleo da auditoria depende da empresa em apresentar sua melhor versão, em vez de responder a perguntas difíceis. Os auditores também precisam cobrir uma vasta gama de controles durante uma auditoria, portanto, o tempo é um fator importante na qualidade de sua análise.

Uma atestação sozinha dirá que uma empresa possui um programa de segurança maduro com controles. Exigir que um potencial parceiro complete uma pesquisa de fornecedor também não lhe dará confiança. Pesquisas apenas descrevem as mesmas informações em um formato diferente. Então, como você avalia um programa de segurança maduro?

Avalie todo o Programa de Segurança em Nuvem

Primeiro, você deve revisar, no mínimo, as declarações e o relatório de descobertas, não o resumo executivo. Isso lhe fornecerá uma visão geral do programa revisado por um terceiro. Além disso, programas de segurança abrangentes devem incluir estratégias robustas de proteção de dados, como procedimentos de backup e recuperação de banco de dados, para garantir a continuidade dos negócios e a integridade dos dados durante incidentes de segurança. Em segundo lugar, você definitivamente deve revisar se a empresa se submete a um teste de penetração de terceiros ou a um programa de recompensa por bugs. Pessoalmente, não sou fã de recompensas por bugs, mas sou fã de testes de penetração de terceiros anualmente. O teste de penetração fornece a você um teste estruturado de suas defesas e feedback real sobre vulnerabilidades. Por fim, revise os documentos de segurança (geralmente índice) que a empresa utiliza como base para a implementação. Isso inclui (mas certamente não se limita a) uma política de segurança, resposta a incidentes e gestão de vulnerabilidades. Uma equipe de segurança experiente oferecerá compartilhar esses documentos e artefatos como parte dos negócios normais.

Eu considero fundamental avaliar cada fornecedor e parceiro sob a perspectiva de acesso aos dados da empresa. Isso significa que, se o parceiro ou fornecedor gerencia dados da empresa, eles estão sujeitos a mais escrutínio do que um fornecedor que não o faz. Tenha em mente o propósito comercial ao avaliar um programa de segurança. Eu reviso o propósito comercial e o tipo de informação envolvida, e então avalio a partir dessa perspectiva, em vez de tratar todos os parceiros e fornecedores da mesma forma. Quando houver dúvida, sempre peça mais informações.

Primeiro, você deve revisar, no mínimo, as declarações e o relatório de descobertas, não o resumo executivo. Isso lhe fornecerá uma visão geral do programa revisado por um terceiro. Além disso, programas de segurança abrangentes devem incluir estratégias robustas de proteção de dados, como procedimentos de backup e recuperação de banco de dados, para garantir a continuidade dos negócios e a integridade dos dados durante incidentes de segurança. Em segundo lugar, você definitivamente deve revisar se a empresa se submete a um teste de penetração de terceiros ou a um programa de recompensa por bugs. Pessoalmente, não sou fã de recompensas por bugs, mas sou fã de testes de penetração de terceiros anualmente. O teste de penetração fornece a você um teste estruturado de suas defesas e feedback real sobre vulnerabilidades. Por fim, revise os documentos de segurança (geralmente índice) que a empresa utiliza como base para a implementação. Isso inclui (mas certamente não se limita a) uma política de segurança, resposta a incidentes e gestão de vulnerabilidades. Uma equipe de segurança experiente oferecerá compartilhar esses documentos e artefatos como parte dos negócios normais.

Eu considero fundamental avaliar cada fornecedor e parceiro sob a perspectiva de acesso aos dados da empresa. Isso significa que, se o parceiro ou fornecedor gerencia dados da empresa, eles estão sujeitos a mais escrutínio do que um fornecedor que não o faz. Tenha em mente o propósito comercial ao avaliar um programa de segurança. Eu reviso o propósito comercial e o tipo de informação envolvida, e então avalio a partir dessa perspectiva, em vez de tratar todos os parceiros e fornecedores da mesma forma. Quando houver dúvida, sempre peça mais informações.

Primeiro, você deve revisar, no mínimo, as declarações e o relatório de descobertas, não o resumo executivo. Isso lhe fornecerá uma visão geral do programa revisado por um terceiro. Além disso, programas de segurança abrangentes devem incluir estratégias robustas de proteção de dados, como procedimentos de backup e recuperação de banco de dados, para garantir a continuidade dos negócios e a integridade dos dados durante incidentes de segurança. Em segundo lugar, você definitivamente deve revisar se a empresa se submete a um teste de penetração de terceiros ou a um programa de recompensa por bugs. Pessoalmente, não sou fã de recompensas por bugs, mas sou fã de testes de penetração de terceiros anualmente. O teste de penetração fornece a você um teste estruturado de suas defesas e feedback real sobre vulnerabilidades. Por fim, revise os documentos de segurança (geralmente índice) que a empresa utiliza como base para a implementação. Isso inclui (mas certamente não se limita a) uma política de segurança, resposta a incidentes e gestão de vulnerabilidades. Uma equipe de segurança experiente oferecerá compartilhar esses documentos e artefatos como parte dos negócios normais.

Eu considero fundamental avaliar cada fornecedor e parceiro sob a perspectiva de acesso aos dados da empresa. Isso significa que, se o parceiro ou fornecedor gerencia dados da empresa, eles estão sujeitos a mais escrutínio do que um fornecedor que não o faz. Tenha em mente o propósito comercial ao avaliar um programa de segurança. Eu reviso o propósito comercial e o tipo de informação envolvida, e então avalio a partir dessa perspectiva, em vez de tratar todos os parceiros e fornecedores da mesma forma. Quando houver dúvida, sempre peça mais informações.

Outras notícias

Leia mais desta categoria

A person is standing at a desk while typing on a laptop.

A plataforma completa nativa de IA que escalará com o seu negócio.

Contato de vendas

Comece gratuitamente

© 2025 Pássaro

Contacte o Suporte

A person is standing at a desk while typing on a laptop.

A plataforma completa nativa de IA que escalará com o seu negócio.

Contato de vendas

Comece gratuitamente

© 2025 Pássaro

Contacte o Suporte

A person is standing at a desk while typing on a laptop.

A plataforma completa nativa de IA que escalará com o seu negócio.

Contato de vendas

Comece gratuitamente

© 2025 Pássaro

Contacte o Suporte