0
0
O governo federal dos EUA tem uma das maiores cadeias de suprimentos dos EUA, se não do mundo. O governo dos Estados Unidos depende de empreiteiros, usando mais de 4 milhões de empreiteiros para terceirizar tarefas, fornecer serviços e desenvolver e fabricar produtos. Esse número flutua, dependendo se o país está em guerra ou em tempos de paz (durante a Guerra do Iraque, por exemplo, o número de empreiteiros federais mais do que dobrou).
Uma coisa não muda, no entanto: como acontece com organizações privadas, os empreiteiros do governo são frequentemente alvo de cibercriminosos. No início deste ano, por exemplo, um fornecedor para vários grandes empreiteiros de defesa foi alvo de um ataque de ransomware. Esses ataques podem ser disruptivos: documentos confidenciais podem ser tornados públicos, a cadeia de suprimentos pode ser interrompida e — como acontece com os ataques aos fornecedores de empresas privadas — uma violação de dados de um contratante geralmente é uma tentativa de chegar à própria organização principal.
Empreiteiros não são os únicos sob fogo durante a pandemia — agências governamentais nos EUA e no exterior também viram um aumento nos ataques desde março, à medida que os trabalhadores tentaram trabalhar em casa, e os criminosos tentaram tirar vantagem das vulnerabilidades de segurança que isso criou.
O Pentágono tentou reinar em ataques cibernéticos para seus contratantes de defesa, introduzindo novos padrões de segurança cibernética em janeiro: a Certificação de Modelo de Maturidade de Cibersegurança (CMMC),as normas incorporam os 110 requisitos de segurança do NIST SP 800-171, adicionando práticas e processos específicos aos requisitos do Departamento de Defesa (DoD). Essas normas, no entanto, só se aplicam aos contratantes de defesa. Então, como todas as agências governamentais podem operar com mais segurança apesar dos orçamentos enxutos e dos maus atores com a intenção de interromper a cadeia de suprimentos?
Melhores práticas para a segurança cibernética do governo e gerenciamento de riscos da cadeia de suprimentos
Orçamentos apertados, informações confidenciais e ameaças em rápida evolução significam que a segurança cibernética é frequentemente um desafio para as agências governamentais e sua cadeia de suprimentos. Abaixo estão algumas práticas recomendadas para proteger seus dados e gerenciar o risco do contratante.
1. Proteja seu site
Os visitantes podem fazer uma conexão não criptografada com qualquer uma das páginas do seu site? E os sites dos seus empreiteiros? Em junho, o governo dos EUA anunciou que todos os sites .gov seriam HTTPS, ou “HTTP seguro”. O governo também quer que seus servidores web se comprometam publicamente a usar HTTPS por padrão. Não há um prazo firme sobre esses requisitos, no entanto, então cada agência pode estar se sentindo do seu jeito quando se trata de mudar para essa opção mais segura.
2. Conheça seus ativos
Quando você está construindo uma estratégia de segurança cibernética,é importante saber quais ativos você está protegendo. Construa uma lista dos ativos que você não quer ser violado. Esta lista pode conter dados, dispositivos ou redes. Quão grave é o risco associado a cada ativo, se foram violados? Você perderia informações confidenciais? Você perderia produtividade? Que pessoas e entidades têm acesso a cada ativo? Uma vez que você entenda seus riscos, então você pode começar a desenvolver uma estratégia de segurança cibernética para protegê-los.
3. Conheça seus contratados
Um dos problemas das empresas privadas é que as organizações muitas vezes não sabem quem são seus fornecedores. Isso pode ser um problema em grandes organizações governamentais também. Crie uma lista de seus contratados e anote todas as informações e sistemas que cada um tem acesso para que você saiba o impacto que uma violação teria em sua agência se um de seus contratados estivesse sujeito a um ataque cibernético.
4. Automatize suas operações de segurança cibernética
Orçamentos enxutos de segurança cibernética e uma equipe pared-down podem significar que sua agência está presa no modo reativo, constantemente respondendo a ameaças, em vez de monitorar proativamente o cenário de ameaças. Ao simplificar suas operações e automatizar algumas das tarefas mais demoradas associadas à segurança (algumas das tarefas mais onerosas associadas ao gerenciamento de riscos e relacionamentos do contratante, por exemplo, ou monitoramento para conformidade), sua equipe pode fazer mais com menos. Isso permitirá que você seja mais proativo em sua estratégia de segurança cibernética. Você pode se afastar de lidar com qualquer que seja o problema do dia, e planejar o futuro.
Como o SecurityScorecard automatiza processos de cibersegurança
O monitoramento contínuo da saúde cibernética de uma organização é fundamental para sua segurança. As classificaçõesde segurança fáceis de ler do SecurityScorecard, com base em uma escala A-F, monitoram a postura de segurança da sua agência em 10 grupos de fatores de risco, dando-lhe uma visão externa da sua infraestrutura de TI. Por exemplo, se algum de seus sites não estiver usando HTTPS, podemos mostrar quaisquer sites não criptografados. Sempre que você perder a conformidade em um grupo de fatores de risco, a pontuação da sua agência mudará. Você saberá assim que acontecer, então você pode resolver isso.
Isso vale para terceiros também. Nossas classificações de segurança permitem que você monitore os cartões de pontuação de seus contratados. E nossa ferramenta inteligente, a Atlas,usa inteligência artificial avançada para agilizar o processo de gerenciamento de riscos de terceiros. Usando nossa plataforma, sua agência pode enviar respostas dos contratantes para questionários. Nosso aprendizado de máquina compara essas respostas com questionários anteriores e as análises da própria plataforma, verificando suas respostas quase instantaneamente.
FONTE: SECURITY SCORECARD