1
0
A Lei Federal de Gestão da Segurança da Informação (FISMA) é uma lei federal dos Estados Unidos aprovada em 2002 que define um quadro de segurança da informação para agências governamentais e seus contratados. Reconhecendo a importância da segurança da informação para os interesses econômicos e de segurança nacional, a FISMA exige que as agências federais construam e implementem um programa de segurança da informação econômico e baseado em riscos para proteger informações e ativos governamentais sensíveis.
Desde então, a FISMA foi alterada pela Lei Federal de Modernização da Segurança da Informação (conhecida como FISMA2014 ou Reforma FISMA) para manter o quadro em alinhamento com as atuais ameaças à segurança da informação.
Como a FISMA é implementada?
O Instituto Nacional de Tecnologia e Normas (NIST) — que lançou o projeto de implementação da FISMA em 2003 — é responsável pelo desenvolvimento e implementação dos requisitos de segurança da FISMA, bem como pela determinação de quais controles de segurança e práticas de avaliação de riscos são necessários para cada agência.
As revisões anuais dos programas de segurança da informação das agências são conduzidas por inspetores-gerais, diretores de informação (CIOs) e outros funcionários do programa. Os resultados são repassados ao Escritório de Gestão e Orçamento (OMB), que prepara ao Congresso um relatório anual de conformidade da FISMA.
As normas e diretrizes fisma, omb e nist exigem que as agências governamentais empreguem uma abordagem de monitoramento contínuo para verificar a eficácia de seus controles de segurança entre auditorias. Além de rastrear mudanças na postura de segurança, os dados de segurança em tempo real permitem que os funcionários iniciem a remediação oportuna e toiem decisões econômicas e baseadas em riscos sobre como operar seus sistemas de informação.
Quais são os requisitos de conformidade da FISMA?
O quadro de segurança da informação definido pela FISMA deve ser acompanhado por todos os órgãos do Poder Executivo e Legislativo, quaisquer empresas contratadas com essas agências, bem como órgãos estaduais que operam programas federais.
Os sete principais requisitos de conformidade da FISMA são:
- Inventário do sistema de informações. As agências federais e seus contratantes devem fazer o inventário de todos os sistemas de informação em uso em sua rede.
- Categorização de risco. Os sistemas de informação e informação devem ser categorizados por risco para garantir que os dados mais sensíveis ou vulneráveis recebam o mais alto nível de proteção.
- Plano de segurança do sistema. As agências devem criar um plano de segurança que seja continuamente atualizado para manter controles e políticas de segurança adequados ao longo do tempo.
- Controles de segurança. Além de implementar os controles mínimos de segurança delineados pela NIST, as agências devem implementar os controles do catálogo NIST 800-53 são considerados necessários para cada sistema de informações.
- Avaliações de risco. Quando as alterações são feitas em seus sistemas, as agências devem realizar avaliações de risco para determinar se seus controles de segurança atuais são adequados e se mais controles são necessários.
- Certificação e credenciamento. Além de realizar avaliações de risco, chefes de agências e funcionários do programa são obrigados a realizar revisões anuais de segurança. O processo de certificação e credenciamento da FISMA tem quatro fases: iniciação e planejamento, certificação, credenciamento e monitoramento contínuo.
Obtendo conformidade com a FISMA
Para atender aos requisitos mencionados acima, as agências e contratantes devem ser a primeira segurança em todas as suas operações. Isso significa classificar e criptografar dados à medida que são criados para que a segurança das informações críticas seja priorizada, e o impacto de uma possível violação seja reduzido. As agências e contratantes também devem acompanhar as medidas tomadas para alcançar o cumprimento da FISMA, a fim de permanecerem prontos para auditoria. O treinamento abrangente é fundamental para garantir que os funcionários entendam seu papel na proteção de sua organização contra ameaças cibernéticas.
Além de proteger os dados confidenciais que vivem em redes governamentais, as diretrizes da FISMA fornecem às organizações um roteiro econômico para reforçar sua postura de segurança e corrigir problemas de segurança. Empresas privadas que competem para ganhar contratos governamentais também ganham vantagem competitiva, demonstrando a conformidade com a FISMA.
Consequências do não cumprimento
As consequências do descumprimento da FISMA incluem a perda de recursos federais para empreiteiras governamentais, a censura do Congresso e os danos à reputação.
Os fornecedores podem ser chamados a depor perante o Congresso após uma violação de dados para avaliar a causa e o escopo dos danos, especialmente quando informações confidenciais relacionadas à segurança nacional estão envolvidas. Nos casos mais graves, os empreiteiros podem ser censurados por serem concedidos futuros contratos governamentais.
Como o SecurityScorecard pode ajudar
Embora as agências governamentais e os contratantes possam tirar um instantâneo de sua postura de conformidade realizando auditorias internas, eles podem entrar e sair do cumprimento durante os intervalos entre essas avaliações periódicas. O SecurityScorecard ajuda as organizações a rastrear sua postura de conformidade continuamente com nosso módulo de conformidade, o que revela problemas que dizem respeito a padrões regulatórios específicos.
Os usuários também podem automatizar a conformidade de terceiros para avaliar imediatamente e continuamente a postura de risco de qualquer fornecedor em seu portfólio. Com essa visibilidade, as agências governamentais e seus contratantes podem evitar violações previsíveis de dados e perda de dados.
FONTE: SECURITY SCORECARD