0
0
Há dobras na cadeia – a cadeia de suprimentos. E depois de várias violações de segurança cibernética de alto perfil nos últimos anos, o governo federal continua a reprimir riscos potenciais com novas regras e regulamentos que afetam agências governamentais e contratados.
A proposta de uma nova regra do Regulamento Federal de Aquisições (FAR) – que obrigaria contratados e prestadores de serviços que apoiam agências governamentais dos EUA a atender a requisitos aprimorados de segurança cibernética, nos moldes do programa de Certificação de Modelo de Maturidade de Maturidade de Cibersegurança (CMMC) do Departamento de Defesa – é a mais recente representação disso.
Atualmente, qualquer pessoa que lide com informações confidenciais para o governo é obrigada a cumprir 15 requisitos básicos de segurança cibernética. No entanto, as mudanças propostas visam elevar os padrões de segurança cibernética e alinhá-los mais perto da Publicação Especial 800-171 do National Institute of Standards and Technology (NIST), que já é um requisito para os contratados do Departamento de Defesa (DoD) que lidam com informações governamentais confidenciais. No entanto, ainda não está claro como a conformidade será medida e monitorada. Se ele acompanhar com o programa CMMC do DoD, pode haver uma mistura de requisitos de avaliação de terceiros e auto-relatórios.
Embora essas novas medidas de conformidade expandidas melhorem a segurança cibernética e de dados na cadeia de suprimentos federal, muitas agências governamentais ainda enfrentam seus próprios desafios. Eles operam em sistemas legados e infraestruturas de rede desatualizadas, que podem não atender aos requisitos modernos e rigorosos de relatórios de segurança e conformidade. Adicione o aumento do trabalho remoto e o uso de redes e dispositivos externos e você corre o risco de ter vários pontos de acesso menos seguros. Garantir a integridade de todo o ecossistema, devido à natureza interconectada das redes federais e à dependência de contratados e fornecedores terceirizados para lidar com dados governamentais de forma correta e segura, é uma parte crítica e uma parte desafiadora.
Rede de confiança zero
Os novos requisitos para avançar em direção à rede de confiança zero estão trazendo à tona o quanto as agências governamentais devem compensar. Um dos maiores obstáculos é a necessidade de monitoramento contínuo. A segurança da rede requer um processo contínuo para detectar ameaças, vulnerabilidades e possíveis violações. Muitas agências não têm recursos, ferramentas e experiência para monitorar efetivamente suas redes em tempo real e responder prontamente a ameaças emergentes.
Como os contratantes e agências governamentais devem se preparar para seus respectivos requisitos de segurança e conformidade?
- Priorize todos os dispositivos de rede. Tornou-se um hábito avaliar vulnerabilidades apenas no perímetro. Nosso estudo recente com profissionais de segurança cibernética nas forças armadas, no governo federal e na infraestrutura nacional crítica dos EUA revelou que 96% das organizações priorizam a configuração e auditoria de firewalls, mas não roteadores ou switches. Isso significa que apenas 4% avaliam switches e roteadores, deixando esses dispositivos expostos a riscos potencialmente significativos e não identificados. De acordo com as melhores práticas de confiança zero, é essencial avaliar todos esses dispositivos para evitar movimentos laterais nas redes.
- Segmentar redes. A implementação da segmentação de rede pode mitigar o impacto de uma possível violação compartimentando informações confidenciais e limitando o movimento lateral dentro da rede. Ao segregar as redes com base nos níveis de acesso e na classificação de dados, as organizações podem reduzir a possível superfície de ataque e minimizar o impacto de uma violação.
- Utilize auditorias de conformidade e ferramentas de automação de garantia. Essa é uma forma de empreiteiros e agências se prepararem para auditorias. Avaliações regulares devem ser realizadas para identificar vulnerabilidades, avaliar riscos e garantir a conformidade com os requisitos de segurança da rede. Essas avaliações podem identificar lacunas nos controles de segurança de rede e permitir a correção imediata. Usar ferramentas que forneçam correções técnicas exatas para configurações incorretas também é essencial.
A proposta iminente de uma regra FAR que introduz regulamentos semelhantes aos do CMMC para todos os contratados que lidam com informações confidenciais do governo destaca a importância crescente de maior segurança de rede e conformidade regulatória em toda a cadeia de suprimentos federal. Embora isso ajude a reduzir o risco de segurança cibernética dos contratados, as agências governamentais dos EUA ainda precisam lidar com seus próprios desafios para atender aos requisitos atuais de segurança e conformidade, começando com as etapas acima. Isso significa que as empreiteiras e as agências federais devem ser proativas e ficar à frente da curva regulatória.
A proteção de informações governamentais confidenciais é primordial e pode ser feita alinhando os requisitos de segurança cibernética e incorporando estruturas estabelecidas, como o NIST. Ao aproveitar as ferramentas de automação para realizar auditorias de segurança e conformidade e por meio da implementação de princípios que apoiam uma mentalidade de confiança zero, os contratantes e as agências podem se adaptar com sucesso ao cenário de segurança cibernética em evolução e contribuir para um ecossistema mais seguro.
FONTE: DARK READING