Mudanças no esquema CyberEssentials do Reino Unido colocam as empresas em risco

NCSC CyberEssentials ( CE ) é, em poucas palavras, um esquema apoiado pelo governo do Reino Unido que visa tirar as empresas de sua pobreza de segurança.

Quem optar por aderir ao esquema, beneficia de proteção contra os ataques cibernéticos mais comuns . É o que se lê no rótulo da lata, porém, dentro da lata, há muito mais.

O esquema tem dois sabores: CE e CE+ .

A CE é uma autoavaliação, realizada através do preenchimento de um questionário online que é posteriormente revisto pelo IASME . Se as respostas forem de qualidade e clareza suficientes, a empresa recebe o certificado. Se a empresa inicialmente falhar na avaliação, ela terá alguns dias para corrigir e reenviar sem nenhum custo adicional.

O CE+ difere do CE por incluir também uma verificação técnica prática, ou seja, as informações enviadas são verificadas de forma independente via teste de penetração.

Outra vantagem é que uma empresa certificada, domiciliada no Reino Unido com faturamento inferior a £ 20 milhões, também tem direito a um seguro de responsabilidade cibernética no valor de £ 25.000, enquanto empresas do exterior podem se beneficiar de descontos de seguros de corretores que reconhecem a certificação.

Se você considera o esquema como um obstáculo que, uma vez superado, também garante à empresa um nível mais alto de confiança para fazer negócios e uma reputação melhorada, para aquele ano em particular, você estaria certo.

Qualquer sabor tem um custo de aquisição insignificante, mas os líderes empresariais devem contabilizar e alocar tempo suficiente para permitir a conclusão da avaliação, não é trivial. Eles também devem preparar sua força de trabalho para mudanças culturais e operacionais, pois serão necessárias para atender aos requisitos de certificação.

Pronta ou não, uma vez embarcada em sua aventura de doutrinação de segurança, a empresa obterá uma apreciação mais profunda do assunto e sairá com uma postura de segurança aprimorada.

Um pouco de crítica

1- De quem quer mais

Alguns profissionais de segurança gostariam que o esquema evoluísse para oferecer diferentes tons de cinza de acordo com os resultados da avaliação, o que significa que deveria oferecer uma classificação mais fina do que apenas o selo de “certificado”.

Observei essa crítica nas mídias sociais e agrupei seus apoiadores como aqueles que já estão do outro lado da barreira e sofrem de fadiga de devida diligência em suas avaliações de segurança da cadeia de suprimentos. Sua ânsia de passar a bola para o IASME potencialmente reduziria os custos de suas empresas e as respostas uniformes obtidas. Eu me pergunto se o IASME aceitará isso.

Após uma reflexão mais aprofundada, também reconheci a existência muito simpática daqueles que desejam se diferenciar de outras empresas certificadas. Seja porque eles não economizaram para obter a certificação e acreditam que outros o fizeram, ou por estarem cientes de que formas específicas de alcançar X realmente fornecem valor NULL ou mesmo porque eles podem saber de empresas que declaram conformidade quando simplesmente não é o caso.

No entanto, eu, pelo menos, não endosso esta proposta de mutação do esquema, pois sou da opinião de que ela deve ser mantida até que o número de empresas certificadas seja tão alto que a certificação não sirva mais a um propósito, ao invés de mudar sua pobreza missão de fome no meio da maratona.

Meu raciocínio decorre de ter experimentado a pobreza de segurança e ser capaz de reconhecer o nível de esforço necessário para tirar um negócio dela. Como tal, embora compreenda que recertificar todos os anos não será tão excitante e transformável como na primeira vez, desaprovarei, se depois de alguns anos continuar a ser a única certificação de segurança que uma empresa possui…

2- Daqueles que precisam mais

Por outro lado, e apesar do sucesso do esquema desde 2014, ele continua recebendo reclamações sobre informações insuficientes e pedidos de maior clareza sobre vários tópicos. Eu mesmo tinha perguntas.

No entanto, considero esse feedback inevitável e esperado, dado o amplo público-alvo do esquema, pois pouco se pode fazer, mas esperar alcançar um grande nível de ressonância, mesmo ao transmitir apenas uma mensagem curta para um público diversificado.

No entanto, esta crítica importante e recorrente enfatiza inequivocamente que os pobres e os equivocados estão buscando ajuda e querem fazer melhor! Mas também questiona se elevar a fasquia não é realmente abaixo do ideal ou prematuro.

3- Dos que não concordam

Existem também alguns profissionais de segurança que desafiam algumas das especificidades do esquema. Aqui, cuidado e pausa devem ser colocados em prática, pois todos os profissionais de segurança devem entender o conteúdo do desafio com facilidade. Assim, quando alguém começa a GRITAR com a intenção de manter práticas que chegam ao reino do antiético, outros questionarão o real motivo por trás disso, mesmo que invariavelmente, terá a mesma causa raiz: custos financeiros, ao invés da ausência de conhecimento sobre os riscos.

Acredito que isso só ocorra devido ao peso do custo identificado não ter sido casado com os tradeoffs obtidos. No entanto, reconheço que aqui as batalhas devem ser travadas uma a uma com o objetivo de educar para permitir um estado compartilhado de esclarecimento que será um processo lento e melhor servido com modelagem de ameaças sob medida, identificação e quantificação de riscos antes de qualquer tratamento (aceitação, transferência, mitigação, evitação).

Embora até agora não tenha endossado os desafios colocados, sendo limitado pela minha esfera de influência e visibilidade, também reconheço uma oportunidade para o esquema oferecer mais valor e ajudar aqueles que desejam certificar na forma de enumerar quais leis podem ser violadas se Y e Z não estão no lugar. Embora esses possam ser específicos do Reino Unido, o insight pode ser benéfico e diminuir a resistência.

Próximas mudanças que podem prejudicar o seu negócio

Questiono duas das alterações propostas , pois todas as outras me parecem melhorias neste momento, mas gosto de me manter à vontade para as revisitar.

1- O esquema não exigirá mais que os modelos de dispositivos do usuário sejam informados.

Posso imaginar a IASME recebendo reclamações de empresas que possuem um grande número de ativos sobre como o processo é lento e doloroso. Já estive lá, mas qualquer pessoa que faça essa reclamação levanta questões imediatas sobre como a empresa monitora, controla e substitui esses ativos e faz parte de fazer a coisa certa para melhorar a segurança da empresa. Como tal, eu não aceitaria isso como o motivo da mudança.

Estou inclinado a acreditar que essa mudança é para favorecer as empresas de avaliação do IASME e, possivelmente, do CE+, que podem estar procurando diminuir seu nível de trabalho e, portanto, dispostas a baixar o nível, permitindo uma apresentação mais flexível. Isso parece mais próximo da realidade no sentido de que o tempo investido por aqueles, dependendo do porte da organização avaliada, pode levar a custos não cobertos.

Para mim, no entanto, como modelos diferentes podem muito bem ter ciclos de vida de suporte diferentes e podem ter diferentes sistemas operacionais e firmwares associados, isso é uma mudança negativa.

Um exemplo será relatar: “só usamos Macs” quando determinados modelos já não são capazes de suportar diferentes requisitos de segurança. Isso ofusca as informações enviadas.

2- O esquema exigirá apenas relatórios de firmware de roteador e firewall

Este me intriga. As empresas têm repetidores wifi e esses têm firmware, têm servidores que têm firmware e todos os outros dispositivos… todos com firmware.

Aqui eu apontaria o dedo para virtualização e provedores de nuvem que não compartilham essas informações. E se eu estiver perto, questionaria o IASME se não faria mais sentido ter requisitos separados para ativos tangíveis e intangíveis.

Não saber qual firmware é usado em um dispositivo prejudica a tomada de decisão quanto ao nível de segurança que o ativo exige. Portanto, é outra mudança negativa que leva a menos segurança.

Menos controle não é melhor, menos é pior. Nestes dois casos, pelo menos.

Reduzir o valor da certificação não é certo.

Obrigado por ler. O que você acha dessas mudanças? Deixe-nos saber nos comentários abaixo!