Padrões e normas de segurança são um conjunto de requisitos, práticas e diretrizes, criadas para aumentar o nível de proteção das organizações contra possíveis ameaças. Elas são definidas por entidades como governos, instituições internacionais e outros órgãos regulamentadores do setor.
Algumas das principais normas de segurança são: PCI-DSS, ISO 27001, SOC2, LGPD, NIST SP 800-53 e HIPAA.
Apesar de cada uma ter seus parâmetros e exigências, a maioria delas possui algo em comum: a necessidade de usar técnicas, ferramentas e recursos que promovam a segurança dos dados.
O pentest não é obrigatório em todas, porém, já que esse é um dos principais tipos de teste de cibersegurança, sua execução é altamente recomendada em praticamente todas. Afinal, através dele é possível adequar-se ainda melhor às diretrizes obrigatórias.
O Pentest e as normas de segurança
Abaixo, selecionamos as principais normas de segurança (de diversas áreas) e o nível de exigência do pentest em cada uma delas.
LGPD
Pentest recomendado, mas não obrigatório.
A LGPD, Lei Geral de Proteção de Dados, é uma norma brasileira que regulamentou a segurança de dados pessoais, e já está em vigor há certo tempo.
Apesar de não especificar a necessidade do pentest em suas exigências, a LGPD demanda o uso de técnicas e ferramentas capazes de proteger esses dados de ataques cibernéticos, vazamentos e qualquer outro risco que possa comprometer sua integridade. O pentest é um alinhado importante para cumprir esse papel – portanto, apesar de não ser obrigatório, é altamente recomendado.
ISO 27001
Pentest recomendado, mas não obrigatório.
A ISO 27001 é uma diretriz internacional ligada à gestão de segurança da informação. No caso dela, apesar de os testes de intrusão não serem uma exigência, eles são uma ferramenta importante para a identificação de vulnerabilidades e ameaças de cibersegurança.
PCI-DSS
Pentest obrigatório!
O PCI-DSS, uma diretriz voltada para cartões de crédito e débito, tem o pentest como uma exigência o pentest entre suas práticas. Ela é regulamentada no requisito 11.3, que estabelece a realização dos testes periodicamente (a cada 6 ou 12 meses) ou sempre houver alterações expressivas em uma aplicação.
SOC2
Pentest recomendado, mas não obrigatório.
A SOC2 é um padrão de autoria, em que suas diretrizes estão direcionadas para o processamento, integridade e privacidade dos dados de provedores de serviços.
Essa norma de segurança estadunidense avalia a eficácia das medidas usadas pela organização para garantir a proteção dos dados, o que pode incluir testes para encontrar vulnerabilidades. Por isso, apesar de não ter o pentest como obrigatório, ele novamente entra como um recurso fundamental.
O SOC2 é muito usado empresas que atuam no exterior.
HIPAA
Pentest recomendado, mas não obrigatório.
O HIPAA é uma lei estadunidense, e suas diretrizes abordam segurança de dados ligados à saúde, especialmente pensando em planos e seguros.
Mais uma vez, o pentest não é obrigatório nesse caso. Entretanto, a lei exige que as organizações tenham recursos técnicos e administrativos para proteger as informações armazenadas. Por conta disso, muitas optam por realizar o teste de intrusão mesmo nos casos que não são obrigatórios.
NIST SP 800-53
Pentest recomendado, mas não obrigatório.
NIST SP 800-53 também é uma diretriz estadunidense. Dessa vez, publicada pela National Institute of Standards and Technology.
O pentest é indicado nesse contexto como ferramenta para ajudar no gerenciamento de riscos de cibersegurança, já que a NIST SP 800-53 inclui recomendações de testes de segurança, avaliação de vulnerabilidades e de instrução.
A ilustração abaixo resume a recomendação de cada norma de segurança:
Imagem: obrigatoriedade do Pentest por normas de segurança.
Pentest para normas de segurança
Aqui na Vantico, temos certificações em todas essas normas de segurança. Conheça nossa metodologia de Pentest as a Service e saiba como podemos ajudar a sua organização!