O que é o Framework Essencial dos Oito?
Em novembro de 2023, a Estratégia Nacional de Cibersegurança da Austrália foi atualizada para refletir a mudança estratégica de uma abordagem de “defesa” para uma de “preparação”. Essa mudança estratégica se aplica a todos os setores da indústria e agências governamentais na Austrália. Para auxiliar nessa transição, a Diretoria de Sinais da Austrália (ASD) desenvolveu a estrutura de conformidade “Essential 8” como um componente importante dessa mudança na estratégia nacional de cibersegurança. Ela foi projetada para ajudar as organizações a mensurar a maturidade de seus programas de cibersegurança e gestão de riscos. O Essential 8 possui 148 controles que se agrupam em 8 áreas tecnológicas fundamentais para definir os padrões de conformidade.
O desafio de integração e visibilidade dos 8 elementos essenciais
A Microsoft teve uma forte influência no desenvolvimento dos 8 Princípios Essenciais e, embora não seja explicitamente declarado, muitos controles são mapeados para tecnologias da Microsoft. Isso não é algo negativo nem uma crítica à Microsoft; reconheço sua influência. No entanto, a realidade é que nem todos os governos ou empresas possuem produtos da Microsoft. Para eles, a implementação dos 8 Princípios Essenciais apresenta diversos desafios.
Relatórios contínuos de conformidade
Implementar relatórios de fácil compreensão dos 8 Princípios Essenciais de forma eficiente em ambientes distribuídos pode ser um grande desafio. As organizações precisam ser capazes de gerar relatórios tanto sobre o nível de risco em um determinado momento quanto sobre o status em tempo real, de acordo com a estrutura dos 8 Princípios Essenciais. Soluções de automação de segurança independentes de fornecedores, como o Swimlane Turbine, podem ajudar a superar esse desafio de relatórios de conformidade.
Painéis de controle em tempo real para o Essential 8
Ampliando o desafio da conformidade, as organizações australianas também precisam de painéis de controle em tempo real que possam estabelecer uma compreensão básica de sua postura de segurança em relação aos 8 Princípios Essenciais. Existem duas maneiras fundamentais de preencher um painel de controle de autenticação multifator como este.
- Integração e ingestão – Integre todos os sistemas e ingira a telemetria necessária para gerar relatórios em relação aos controles e à estrutura de maturidade dos 8 principais pilares.
- Avaliação - Crie uma avaliação automatizada que funcione como uma escala ambiental para examinar o nível de risco dos 8 pilares essenciais da sua organização. As respostas às perguntas da avaliação são então usadas para preencher o painel de controle.
Nos bastidores do painel de controle do Swimlane Essential 8
Analisamos ambos os métodos quando criamos o painel Essential 8 da Swimlane para nossos clientes australianos. Confira! vídeo de demonstração Do meu amigo e colega, Gavin Coulthard, para ver o resultado final. Se você estiver curioso, continue lendo este blog para conhecer mais perspectivas e lições aprendidas ao longo do processo.
Existem vantagens e desvantagens tanto nas integrações quanto nos métodos de avaliação para a criação de dashboards. Optamos por usar o método de avaliação para estabelecer um relatório inicial rápido com base nos 8 Fundamentos Essenciais. Essa avaliação personalizada pode analisar ferramentas internas e de terceiros para coletar informações da infraestrutura tecnológica existente e de perguntas baseadas em percepções humanas. A capacidade da Turbine de importar e interpretar documentação tornou esse processo de avaliação uma ótima opção para nós. Essa auditoria inicial leva alguns dias e resulta em um histórico completo com evidências empíricas sobre a maturidade da estrutura dos 8 Fundamentos Essenciais.
Dos 8 princípios essenciais às estruturas de conformidade múltipla
A complexidade da automação da conformidade e os desafios de visibilidade não terminam com os 8 itens essenciais. Muitas empresas e MSSPs precisam estar em conformidade com várias estruturas de conformidade. Como fornecedores de soluções de automação, nosso próximo desafio foi oferecer aos clientes um sistema centralizado de registro para todas as suas estruturas de conformidade. Nosso objetivo era entregar uma solução onde os clientes pudessem controlar várias estruturas em um único local. Isso exigiu a capacidade de entender e auditar cada controle em relação ao seu ciclo de vida específico dentro de cada estrutura.
Então, temos o desafio bem definido, a fonte de referência em mente e estamos prontos para implementá-lo. Eu não sou o especialista em tecnologia nessa história, esse papel cabe ao meu arquiteto, Gavin Coulthard. Ele utilizou relatórios pré-configurados do nosso CISO, que criou seu próprio ambiente para gerenciar a conformidade com o NIST, e em cerca de duas semanas a solução de automação de múltiplas conformidades estava pronta.
O que torna a solução de automação de múltiplas conformidades da Swimlane única?
Parece ótimo, e é mesmo, mas não é tão simples assim. Algumas perguntas óbvias surgem para quem tem experiência na área: não existem já produtos que fazem isso?
A resposta para essa pergunta é sim e não.
- Sim - Existem produtos específicos para gestão de conformidade. Quase todos eles possuem o que eu chamaria de um ponto ideal de conformidade, pois evoluíram a partir do que pode ser descrito como conformidade específica de um setor. Esses produtos são altamente especializados e projetados para setores onde a legislação regulatória exige sua adoção. Um exemplo clássico é o de serviços financeiros, onde partes do setor são altamente regulamentadas e a conformidade é uma ferramenta utilizada para fazer cumprir essa legislação.
- Não A maioria das soluções não busca integrar todas as estruturas de conformidade ou fontes de telemetria em uma visão unificada. Esse desafio de integrar, correlacionar e simplificar a complexidade é justamente o ponto forte do Swimlane. Flexibilidade e uma interface de usuário altamente personalizável são as duas qualidades que diferenciam o Swimlane Turbine de qualquer outra solução de automação de segurança. São esses os motivos pelos quais o Turbine consegue automatizar uma ampla variedade de casos de uso para gerar o máximo retorno sobre o investimento.
A conformidade veio para ficar, então automatize-a.
Estamos apenas no início desse movimento; o cenário regulatório em constante evolução só aumentará os custos operacionais. O extraordinário sobre a conformidade é que, se adotada e gerenciada corretamente, ela também é a chave para a eficiência e o sucesso organizacional. Em outras palavras, o que é considerado superficialmente como um custo operacional necessário é, na verdade, a chave para desbloquear a eficiência e o potencial de uma organização.
A chave para desbloquear esse potencial é gerenciar a conformidade de forma totalmente integrada e unificada. A automação de segurança é o caminho para isso. Para saber mais sobre como tudo isso funciona, solicite uma demonstração em [link para a demonstração]. swimlane.com/demo
Solicite uma demonstração
Se você ainda não teve a oportunidade de explorar o Swimlane Turbine, solicite uma demonstração.

