Due Care vs. Due Diligence

porMatheus Damacena -


Due diligence 

Due diligence é definida como planejamento prévio para garantir o cumprimento das obrigações de segurança. É o processo de estabelecer estruturas de governança, processos e frameworks.

No contexto da segurança cibernética, realizar due diligence significa tomar medidas antecipadamente ao construir e manter um programa de segurança para garantir que a organização esteja preparada quando algo der errado. Alguns exemplos de due diligence em segurança cibernética incluem:

  • Criação de políticas de segurança.
  • Desenvolvimento de procedimentos.
  • Implementação de playbooks de resposta a incidentes.
  • Implementação de controles de segurança, como firewalls.
  • Execução de varreduras de vulnerabilidades (como parte do estabelecimento de controles).


Due Care

Por outro lado, due care é descrita como sendo mais tática e no momento presente. A definição formal apresentada é tomar o mesmo cuidado que uma pessoa comum e razoável tomaria sob as mesmas circunstâncias. No âmbito da segurança cibernética, refere-se às decisões e ações que um profissional de segurança razoável tomaria no dia a dia.

O due care abrange as ações que executam os detalhes do programa de segurança. Exemplos de due care em segurança cibernética incluem:

  • Configurar e testar regras de firewall.
  • Executar planos de resposta a incidentes.
  • Analisar logs de firewall.
  • Dar seguimento a alertas de intrusão.
  • Realizar varreduras de vulnerabilidades (a ação de executá-las regularmente) e, crucialmente, fazer algo em relação às vulnerabilidades identificadas.


Conclusão

Due diligence e due care estão relacionadas e são diferentes. A due diligence planeja o "o quê" e o "como" da segurança, enquanto o due care garante que as práticas sejam efetivamente implementadas e seguidas. Um programa de segurança bem estruturado (resultado da due diligence) só é eficaz se as políticas e procedimentos forem seguidos e as ações necessárias forem tomadas no dia a dia (due care). Ignorar problemas de segurança e não tomar medidas para resolvê-los e identificar suas causas seriam exemplos de falta de due care. 

Para este tema recomendo fortemente assistir o video do Mike Chapple no youtube.

Fiquem Seguros.

Matheus Damacena

Matheus Damacena

Graduado em Tecnologia de Redes de Computadores na Universidade Estácio de Sá - Niterói. Atualmente atua como Engenheiro de Pré-vendas Cisco. Certificado CCNP EN e SEC, CCNA, Azure Solutions Architect Expert, Azure Network Engineer.

Postagem Anterior Próxima Postagem
Compartilhar com outros aplicativos
Copiar Link da postagem

Formulário de contato