As autoridades que estabelecem regulamentos de conformidade geralmente os atualizam para mantê-los relevantes. No entanto, para as organizações que se enquadram no escopo dessas regulamentações, pode ser um desafio acompanhar as atualizações e garantir que elas permaneçam em conformidade.
O Indian Computer Response Team (CERT-In), uma divisão dentro do Ministério de Eletrônica e Tecnologia da Informação do Governo da Índia, divulgou certas instruções sob a subseção 6 da seção 70B da Lei de Tecnologia da Informação de 2000, relativas às práticas de segurança da informação e procedimentos para prevenção, resposta e comunicação de incidentes cibernéticos.
As partes interessadas do setor ficaram perplexas com os requisitos e exigiram uma alteração, no entanto, a agência esclareceu que os requisitos eram aplicáveis apenas a provedores de VPN que oferecem serviços semelhantes ao proxy de internet para assinantes de internet e não para provedores de serviços VPN corporativos.
Esteja ciente dos requisitos, para saber se sua organização se enquadra na alçada desta lei. Agora vamos nos aprofundar nos requisitos e entender o que é necessário para manter a conformidade.
Principais trechos das diretrizes CERT-In
Aqui estão alguns dos principais trechos das diretrizes do CERT-In. Você pode conferir a lista completa aqui.
-
Qualquer provedor de serviços, intermediário, centro de dados, pessoa jurídica e organização governamental deve relatar obrigatoriamente incidentes cibernéticos ao CERT-In que estejam sob a alçada do Anexo-I dentro de seis horas após notificar tais incidentes ou ser notificado sobre tais incidentes. Isso pode ser feito por e-mail, telefone ou fax.
-
Um ponto de contato deve ser designado para fornecer assistência, tomar medidas ou fornecer as informações necessárias sobre o incidente ao CERT-In para facilitar uma resposta a incidentes que inclua ações de proteção e prevenção para o incidente.
-
Os logs devem ser mantidos por um período contínuo de 180 dias e devem ser fornecidos juntamente com o relatório do incidente ou quando orientado pelo CERT-In.
- As informações válidas de assinantes e clientes, incluindo nomes, ID de e-mail e endereços, devem ser armazenadas por um período de cinco anos após qualquer cancelamento ou retirada do registro.
- Todas as informações coletadas para conhecer seus processos de clientes devem ser mantidas por um período de cinco anos.
Desafios para se manter em conformidade com as novas regras
Um dos principais motivos citados pelas organizações para retaliar as novas regras foi que manter os dados dos usuários por cinco anos pode aumentar muito os custos operacionais. Além disso, as pequenas e médias empresas muitas vezes têm dificuldade em armazenar e verificar os detalhes do usuário.
Além disso, os prestadores de serviços queriam esclarecimentos sobre quem deveria seguir essas novas regras. Alguns provedores de serviços podem não conseguir revelar informações confidenciais mesmo sob ordens, seja porque não têm a capacidade de recuperar essas informações, porque revelar informações confidenciais vai contra a ética da empresa ou porque oferecem serviços de mascaramento aos clientes e simplesmente não ter esses dados disponíveis.
Armazenar grandes quantidades de dados por um período de cinco anos exigiria que as organizações investissem em mais armazenamento e expandissem suas infraestruturas. Embora as autoridades tenham esclarecido que as novas regras foram estabelecidas para segurança e não vigilância, as organizações ainda estão céticas sobre as repercussões das novas regras nos próximos anos.
Além disso, para as organizações que têm acordos de privacidade com seus clientes, fechar negócios na Índia seria a única opção se não forem feitas as devidas alterações nas novas regras.
Práticas recomendadas para manter a conformidade com os novos requisitos CERT-In
Embora seja difícil manter a conformidade com as novas regras, não é impossível. Aqui estão algumas práticas recomendadas que podem ajudá-lo a manter a conformidade.
-
Tenha um procedimento de monitoramento de incidentes implementado: Para relatar um incidente dentro de seis horas após a ocorrência, é essencial ter um processo de monitoramento de incidentes implementado. No entanto, é recomendável automatizar o processo, pois fazê-lo manualmente pode ser demorado.
-
Realize auditorias de rede regularmente: é essencial realizar auditorias internas regularmente para verificar a integridade da rede coletando e analisando os dados da rede. Isso ajudará a identificar e categorizar informações confidenciais, para que você possa estabelecer segurança adicional.
-
Pratique técnicas de controle de acesso: revisar e revogar o acesso privilegiado pode ajudar a reduzir os incidentes de segurança. Além disso, ajudará a identificar usuários com privilégios de administrador e monitorá-los continuamente para evitar comprometimentos de contas.
- Implementar políticas para proteger logs arquivados: um dos principais objetivos da nova regra é reter logs para análise futura. O arquivamento de logs pode ajudar a conseguir isso. No entanto, é importante proteger os arquivos de log arquivados e garantir que eles não sejam adulterados.
- Implante uma solução SIEM: a implantação de uma solução SIEM pode ajudá-lo a permanecer seguro. A solução também deve ter recursos de nuvem e prevenção contra perda de dados totalmente integrados para ajudar as organizações a entender completamente suas redes.
Embora as regras CERT-In pareçam difíceis de cumprir, ao tomar as medidas corretas, as organizações podem manter a conformidade com os regulamentos mais recentes e proteger suas redes também.
Quer saber mais sobre como manter a sua empresa em conformidade com diversas regras, não apenas as CERT-In? Confira outros posts do nosso blog.