©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
Gerenciamento de Vulnerabilidades

Quais normas de segurança exigem gerenciamento de vulnerabilidades?

Equipe EcoTrust

4 min read
Quais normas de segurança exigem gerenciamento de vulnerabilidades?

O gerenciamento de vulnerabilidades se tornou um componente crítico dos programas de segurança cibernética nas organizações. Identificar, avaliar e mitigar vulnerabilidades em sistemas e aplicações de maneira proativa é essencial para reduzir riscos e evitar incidentes de segurança.

Diversas normas, frameworks e regulamentações passaram a exigir às empresas processos estruturados de gerenciamento de vulnerabilidades, dada a importância do tema. Este artigo descreve as principais delas nos contextos global e brasileiro.

Normas Globais

Algumas normas internacionais amplamente adotadas requerem programas de gerenciamento de vulnerabilidades, entre elas:

  • PCI-DSS: O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento é mandatório para qualquer organização que lide com dados de portadores de cartão. Sua versão 4.0 exige varreduras trimestrais de vulnerabilidade interna e externa, correção de vulnerabilidades de acordo com o risco e repetição de varreduras até que não haja mais resultados de alto risco.

  • HIPAA: A Lei de Portabilidade e Responsabilidade de Seguros de Saúde americana obriga avaliações de riscos periódicas para sistemas de informação em saúde, abrangendo identificação e mitigação de vulnerabilidades. Multas pesadas são aplicadas em caso de violação de dados por falhas não endereçadas.

  • NIST CSF: A Estrutura de Cibersegurança do Instituto Nacional de Padrões e Tecnologia dos EUA é referência global. O NIST CSF recomenda mapeamento e correção contínua de vulnerabilidades em ambientes de TI como prática essencial.

Regulamentações Setoriais do Brasil

Além de leis abrangentes como a LGPD, diversos setores no Brasil já possuem resoluções destacando a importância do gerenciamento de vulnerabilidades para a segurança de suas operações, incluindo:

Setor Financeiro:

A recente Resolução CMN no 4.893 estabelece novas regras para as políticas de segurança cibernética e contratação de serviços de computação em nuvem pelas instituições financeiras brasileiras.

A norma exige processos mais robustos de gestão de riscos e resposta a incidentes cibernéticos que afetem a confidencialidade, integridade e disponibilidade de informações.

Isso requer a implantação de controles rígidos de segurança da informação pelos bancos, incluindo atividades sistemáticas de identificação, avaliação e tratamento de vulnerabilidades técnicas nos ambientes computacionais críticos.

Setor de Saúde:

A Lei 13.853/2019 definiu medidas específicas de segurança da informação e privacidade para o contexto de dados de saúde no Brasil.

Entre os requisitos, a norma estabelece a obrigatoriedade de processos de gestão de riscos e respostas a incidentes, visando garantir a confidencialidade, integridade e disponibilidade das informações.

Isso requer a adoção por hospitais, clínicas, laboratórios e operadoras de planos de saúde de programas estruturados de segurança cibernética. Em especial, precisam implementar atividades de identificação, análise, priorização e tratamento de vulnerabilidades técnicas nos sistemas críticos que manipulam dados de saúde.

Setor de Energia:

A Resolução ANEEL no 1.008/2022 estabeleceu novas diretrizes de segurança cibernética para o setor elétrico brasileiro. Entre os principais pontos, destaca-se a obrigatoriedade de políticas estruturadas abrangendo objetivos de segurança, modelos de maturidade, classificação da criticidade da informação, prevenção e resposta a incidentes, conscientização e treinamento.

Especificamente sobre vulnerabilidades, a norma determina a identificação, avaliação, classificação e tratamento dos riscos cibernéticos pelos agentes. Isso envolve necessariamente processos sólidos de varredura, priorização e mitigação de vulnerabilidades técnicas nas redes e sistemas de informação do setor.

Setor de Telecomunicações:

A Resolução Anatel no 740/2020 estabeleceu um Regulamento de Segurança Cibernética voltado especificamente para o setor de telecomunicações no Brasil.

A norma define princípios, diretrizes e obrigações para as prestadoras implementarem políticas estruturadas de segurança da informação e programas de gestão de riscos.

Entre os pontos principais, destaca-se a exigência de processos de identificação, proteção, detecção, resposta e recuperação de incidentes cibernéticos que afetem a segurança das redes e serviços de telecomunicações.

Isso envolve necessariamente atividades sistemáticas de gerenciamento de vulnerabilidades técnicas, de forma a garantir níveis adequados dos atributos de segurança da informação como confidencialidade, integridade e disponibilidade.

Setor de Seguros

A Circular SUSEP no 638/2021 estabeleceu novos requisitos de segurança cibernética para o mercado de seguros, previdência complementar aberta e capitalização no Brasil.

A norma determina que seguradoras implementem políticas, estruturas e processos para proteger a confidencialidade, integridade e disponibilidade das informações pessoais e dados coletados.

Isso envolve atividades contínuas de identificação de riscos cibernéticos e correção de vulnerabilidades técnicas por meio de varreduras de segurança, monitoramento, restrição de acessos e construção de trilhas de auditoria.

LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 2020 para regulamentar o tratamento de dados no Brasil. Embora não exija de forma explícita, a LGPD determina que agentes de tratamento implementem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas.

Isso inclui a adoção de padrões de boas práticas e governança que assegurem o nível adequado de proteção, o que envolve necessariamente processos eficientes de identificação, correção e monitoramento de vulnerabilidades.

Portanto, o gerenciamento contínuo de vulnerabilidades é um requisito implícito da LGPD para qualquer organização que colete e armazene dados pessoais no Brasil.

Frameworks e Melhores Práticas

Além de normas e leis, frameworks consagrados também servem de direcionadores para que organizações em todos os setores implementem programas de gerenciamento de vulnerabilidades. Entre os principais estão:

  • ISO 27001: Esta norma internacional para sistemas de gestão de segurança da informação recomenda revisões e correções regulares de vulnerabilidades técnicas como controle crucial.
  • CIS Critical Security Controls: Também conhecido como CIS, este framework produzido pelo Center for Internet Security destaca o gerenciamento de vulnerabilidades como uma das práticas mais críticas para a segurança das organizações.


O gerenciamento efetivo de vulnerabilidades é cada vez mais um requisito legal e regulatório para empresas de diversos setores e portes, e não somente uma recomendação ou boa prática. Entender quais normas se aplicam ao contexto da sua organização é fundamental para evitar multas, violações de dados e prejuízos à imagem e reputação da marca.

Implantar processos estruturados e contínuos de identificação, priorização e mitigação de vulnerabilidades técnicas, combinados à awareness e treinamento dos times, são os primeiros passos para a consolidação de uma postura de segurança cibernética sólida e resiliente frente às ameaças contemporâneas.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui

Inscreva-se para mais como este.

Enter your email
Subscribe