NIST revela guia atualizado para privacidade, controles de segurança

Views: 186
0 0
Read Time:4 Minute, 44 Second

O Instituto Nacional de Padrões e Tecnologia dos EUA divulgou esta semana uma tão esperada atualização de orientação, a Special Publication 800-53 Revision 5, descrevendo “controles de segurança e privacidade de última geração” e como usá-los.

É a primeira vez desde 2013 que a NIST atualiza o documento, que aborda os riscos de cibersegurança enfrentados por agências do governo federal, bem como organizações do setor privado e oferece diretrizes sobre a mitigação de riscos, proteção de dados e interrupção de violações.

“Esta publicação fornece um catálogo de controles de segurança e privacidade para sistemas de informação e organizações para proteger operações e ativos organizacionais, indivíduos, outras organizações e a nação de um conjunto diversificado de ameaças e riscos, incluindo ataques hostis, erros humanos, desastres naturais, falhas estruturais, entidades de inteligência estrangeiras e riscos de privacidade”, segundo o documento.

A atualização fornece uma lista de controles de segurança e privacidade para o gerenciamento de sistemas de TI, com ênfase especial naqueles que processam ou armazenam informações pessoalmente identificáveis.

Ron Ross, membro da NIST Fellow e coautor do documento Special Publication 800-53 Revision 5, diz ao Information Security Media Group que as diretrizes atualizadas foram projetadas para permitir que vários usuários – sejam engenheiros de sistemas ou aqueles que procuram construir programas de segurança e privacidade para sua organização – possam acessar um conjunto de controles comuns para alcançar seus objetivos. (O NIST usa o termo “controles” para designar um recurso específico usado para proteger informações. Por exemplo, na parte técnica, um controle pode ser a implantação de criptografia ou autenticação de dois fatores.)

“Agora temos o único catálogo de controle no mundo que tem controles de segurança e privacidade no mesmo catálogo”, diz Ross. “E alguns desses controles – eu os chamo de controles de duplo propósito – podem ser usados tanto por programas de segurança quanto de privacidade.”

Mudanças críticas

A NIST fez várias mudanças críticas para ajudar o governo e organizações privadas a adotar o que chama de “controles de segurança e privacidade da próxima geração”.

Essas mudanças incluem novas diretrizes sobre o fortalecimento dos controles existentes dentro dos sistemas de TI e torná-los mais adaptáveis às organizações que usam tecnologias e plataformas modernas, como computação em nuvem, dispositivos móveis e dispositivos IoT.

Ao adotar esses controles atualizados e aprimorados, as organizações podem se proteger de ameaças persistentes avançadas representadas por hackers, os riscos que vêm com a coleta e armazenamento de informações pessoalmente identificáveis nas redes de TI e as vulnerabilidades encontradas em software e hardware, diz a NIST.

“Os controles podem ser implementados dentro de qualquer organização ou sistema que processe, armazena ou transmita informações”, segundo o documento. “Ele cumpre esse objetivo fornecendo um catálogo abrangente e flexível de controles de segurança e privacidade para atender às necessidades atuais e futuras de proteção. A publicação também melhora a comunicação entre as organizações, fornecendo um léxico comum que apoia a discussão de conceitos de segurança, privacidade e gestão de riscos.”

Mandato Federal

Os órgãos federais serão obrigados a implementar as novas disposições e atualizações encontradas na orientação atualizada, de acordo com a NIST.

O documento atualizado foi projetado para ajudar as agências governamentais, bem como seus terceiros contratados, a atender aos requisitos previstos na Lei Federal de Gestão da Segurança da Informação. A lei exige que as agências governamentais dos EUA desenvolvam padrões de segurança para os sistemas de TI que usam.

Seguir as diretrizes é voluntário no setor privado, mas a NIST incentiva as empresas a adotar as novas diretrizes, assim como muitas já adotaram o Framework de Cibersegurança da NIST (ver: Destaques do NIST Cybersecurity Framework Versão 1.1).

Ross diz que a NIST está oferecendo conselhos práticos que qualquer organização pode usar para resolver questões de segurança e privacidade.

“Esses são alguns dos mais amplos conjuntos de controles de segurança e privacidade do mundo”, diz Ross. “A beleza do catálogo é que ele é flexível e adaptável para cada tipo de organização. … Você pode ir ao site e encontrar a lista de controles que sua organização precisa para cumprir uma lista de missões e obrigações. Esses controles podem ser aplicados a qualquer tipo de tecnologia – seja um dispositivo IoT ou uma usina ou um sistema de controle industrial ou um supercomputador. Você pode aplicar os controles e ajudar a deter um ator de ameaça muito determinado.”

Revisões

As alterações na versão atualizada da Publicação Especial 800-53 incluem:

  • Orientação para controles de segurança da informação e privacidade que possam ser integrados em um catálogo de controle consolidado e perfeito para sistemas de TI e suas organizações;
  • Novos padrões para gestão de riscos da cadeia de suprimentos e como integrar esses padrões em uma organização;
  • Novos controles de “estado da prática” baseados na inteligência moderna de ameaças e nos dados mais recentes de ataques, fornecendo suporte para resiliência cibernética, design de sistemas seguros, segurança e governança de privacidade, bem como responsabilidade;
  • Descrições aprimoradas da relação entre requisitos e controles, bem como a relação entre segurança e controles de privacidade;
  • Separação dos processos de seleção de controle dos controles.

Em um resumo dos novos padrões de segurança e privacidade, Ross, Naomi Lefkovitz, consultora sênior de política de privacidade do Laboratório de Tecnologia da Informação da NIST, e Victoria Yan Pillitteri, cientista da computação supervisora da NIST, escrevem que essas revisões ajudarão as agências federais a adotar práticas seguras que trabalham com tecnologias modernas.

“Os controles oferecem uma abordagem proativa e sistemática para garantir que sistemas, componentes e serviços críticos sejam suficientemente confiáveis e tenham a resiliência necessária para defender os interesses econômicos e de segurança nacional dos Estados Unidos”, escrevem os três autores.

FONTE: DATA BREACH TODAY

Previous post Windows Subsystem for Linux 2 contorna o Firewall do Windows 10
Next post KnowBe4 lança botão de alerta de phishing aprimorando o recurso de localização de idioma para o Microsoft 365

Deixe uma resposta