10 Estratégias Vitais para Cumprir as Novas Regulamentações de Auditoria Cibernética da Califórnia
Em 8 de novembro de 2023, a Agência de Proteção à Privacidade da Califórnia (CPPA) publicou uma proposta atualizada de seus regulamentos de auditoria de cibersegurança sob a Lei de Privacidade do Consumidor da Califórnia (CCPA). Embora a CPPA ainda não tenha iniciado o processo formal de regulamentação, as entidades que satisfazem os limites de aplicabilidade propostos são aconselhadas a considerar potenciais implicações de conformidade decorrentes do projeto proposto.
Notavelmente, a CPPA indicou na sua reunião do conselho de março de 2024 que espera passar para a regulamentação formal em julho de 2024. Assim que os projetos de regulamentos forem finalizados na regulamentação formal, a data de conformidade pode aproximar-se rapidamente devido a uma recente decisão do tribunal de recurso da Califórnia que permite à CPPA impor violações de seus regulamentos assim que eles entrarem em vigor. À luz deste desenvolvimento, as empresas podem querer rever os regulamentos propostos agora para se prepararem para a conformidade.
10 Estratégias Vitais para Cumprir as Novas Regulamentações de Auditoria Cibernética da Califórnia
- Autenticação – Implementação de sistemas robustos de autenticação, incluindo autenticação multifator (MFA), para assegurar que apenas usuários autorizados acessem sistemas e dados sensíveis.
- Criptografia de Informações Pessoais – Uso de criptografia para proteger informações pessoais tanto em trânsito quanto em repouso, garantindo a segurança dos dados contra acessos não autorizados.
- Arquitetura de Confiança Zero (Zero Trust) – Adotar uma arquitetura de segurança que assume que nenhuma entidade, interna ou externa, é confiável por padrão, exigindo verificação contínua de identidade e contexto.
- Gerenciamento de Contas e Controle de Acesso – Políticas rigorosas de gerenciamento de contas e controle de acesso, incluindo a gestão de contas privilegiadas e auditorias regulares de permissões de acesso.
- Inventário e Gestão de Ativos – Manutenção de um inventário detalhado e atualizado de todos os ativos de TI para monitorar e proteger contra vulnerabilidades e ameaças.
- Configuração Segura – Garantir que todos os sistemas e dispositivos estejam configurados de maneira segura, seguindo as melhores práticas e padrões de segurança.
- Gestão de Vulnerabilidades e Testes de Penetração – Condução regular de avaliações de vulnerabilidades e testes de penetração para identificar e corrigir falhas de segurança antes que sejam exploradas.
- Segurança de Rede – Implementação de medidas robustas de segurança de rede, como firewalls, sistemas de detecção e prevenção de intrusões (IDS/IPS) e segmentação de rede.
- Resposta a Incidentes e Recuperação de Desastres – Desenvolvimento e manutenção de um plano de resposta a incidentes e recuperação de desastres, incluindo procedimentos claros para identificação, resposta e recuperação de incidentes de segurança.
- Treinamento e Conscientização em Cibersegurança – Programas contínuos de treinamento e conscientização para todos os funcionários, destacando a importância da segurança cibernética e educando sobre as melhores práticas para evitar e reconhecer ameaças.
Confira também: Segurança da informação: O que são dados sensíveis na LGPD?
Gostou do conteúdo? Se você deseja aprofundar seu conhecimento sobre cibersegurança, confira os nossos cursos disponíveis.
