Ordem executiva do governo americano propõe avanços na segurança cibernética

Em resposta aos eventos recentes, governo apresenta 7 iniciativas definidas para evolução da segurança cibernética, exigindo que o setor privado evolua também

Compartilhar:

*Por Pablo Galvez 

 

O ataque ocorrido na Colinial Pipeline, o qual comentei nessa publicação é apenas mais uma investida em um universo significativo de ataques que assolam o ambiente cibernético e causam impactos negativos.

 

A grande preocupação de muitos países ao tema vem sendo transcrita por meio de regulações que deverão ser atendidas sob pena de sanções.

 

As ameaças cibernéticas põem em risco a privacidade de dados e este assunto também está em franca expansão regulatória. Vale frisar que na Europa as multas por descumprimento à GDPR já ultrapassaram 330 milhões de euros.

 

No dia 12 de maio de 2021, o governo americano publicou uma ordem executiva com intuito de evoluir a segurança cibernética americana.

 

A ordem é bastante ambiciosa, abrangente e visa, com base nos eventos recentes, minimizar a recorrência dos ataques e seus respectivos impactos. Demandará também expressivos esforços das empresas para o atendimento da ordem.

 

São 7 as iniciativas definidas para alcançar a evolução almejada, as quais elenco a seguir:

 

1) Remoção de barreiras para o compartilhamento de informações sobre ameaças entre o governo e o setor privado. Objetiva garantir que provedores de serviços de TI compartilhem informações com o governo com obrigatoriedade para as informações relativas à violações.

 

2) Modernização e implementação de padrões de segurança cibernética “mais fortes” no governo federal. Proteção dos serviços em nuvem e orientação à arquitetura de confiança zero (zero-trust), com implantação de múltiplo fator de autenticação e criptografia.

 

3) Melhoria da segurança na cadeia de suprimentos de software. Provavelmente impactada pelo evento da SolarWinds, a ordem endereça a preocupação com a definição de padrões básicos de segurança para o desenvolvimento de software que seja vendido ao governo, demandando que os desenvolvedores avancem em aspectos de segurança. A exemplo dos selos de consumo de energia para eletrodomésticos, será desenvolvido um selo de qualidade para que o governo e público em geral possa identificar quais softwares foram desenvolvidos dentro dos padrões de segurança esperados.

 

4) Estabelecimento de um Conselho de Revisão de Segurança Cibernética. O conselho será composto por membros do governo e setor privado, o qual poderá ser acionado após um incidente cibernético significativo para analisar o evento e emitir recomendações concretas para evolução da segurança cibernética. De forma análoga esse processo é realizado no âmbito da aviação para que acidentes não se repitam.

 

5) Criação de um manual padrão para resposta a incidentes de segurança cibernéticos. A ordem cria um manual padronizado para a resposta aos incidentes cibernéticos por departamentos e agências federais. Esse manual visa garantir que todas as agências federais americanas estejam preparadas para tomar medidas uniformes para identificar e mitigar uma ameaça, bem como responder. Esse manual servirá de modelo para o setor privado.

 

6) Melhoria da detecção de incidentes de segurança cibernética em redes do governo federal. Objetiva melhorar a capacidade de detecção de atividades cibernéticas nas rederes federais, permitindo um sistema de detecção e resposta em todo o governo (EDR) e o compartilhamento de informações entre o próprio governo. Dessa forma o governo federal deverá liderar a evolução da segurança cibernética.

 

7) Melhoria da capacidade de investigação e correção. A ordem cria requisitos de registros de eventos de segurança cibernética para departamentos e agências federais. Nesse item há o reconhecimento de que a deficiência em registros (logs) prejudica a capacidade das organizações na detecção, mitigação e compreensão das investidas criminosas, sejam as ocorridas ou as em curso.

 

É perceptível que a pauta da segurança cibernética está sendo levada cada vez mais com seriedade e que o governo americano reconhece a necessidade de evolução, tanto em agências governamentais quanto no setor privado.

 

A ordem demandará do estado que dê o exemplo e evolua suas capacidades de segurança, bem como resultará na evolução do setor privado.

 

Mas não será uma tarefa fácil. A ordem prevê diversos prazos (46) para implementação das ações e objetivos, no entanto há grande desequilíbrio na maturidade tanto no governo quanto no setor privado, o que poderá refletir no descumprimento de boa parte dos órgãos e instituições.

 

Também há uma zona cinzenta no conceito de violação de segurança. Sem uma definição clara e objetiva de quais eventos devam ou não serem considerados nesse conceito, os provedores de serviços de TI podem não informar ou informar em demasia ocorrências, o que pode impactar o objetivo da multiplicação de conhecimento no âmbito da segurança cibernética.

 

Embora existam grandes desafios para sua implementação, a ordem explícita a preocupação e comprometimento do estado americano na busca da melhoria da segurança cibernética e traz maior enfoque aos riscos que se concretizam repetidamente. Além disso servirá de exemplo para o setor privado e deixa claro que o estado estará mais presente e observando o assunto.

 

Seria muito positivo em solo brasileiro que o governo desse o exemplo e objetivasse também a evolução de sua segurança cibernética.

 

*Pablo V. R. Galvez atua em segurança e TI a mais de 18 anos na indústria financeira. É Auditor Sênior de Segurança Cibernética do Banco do Brasil, bem como de Segurança da Informação e Tecnologia da Informação. Pablo é pós-graduado em Governança de TI e Tecnologia para Negócios com uso de IA, Data Science e Big Data pela Unieuro e PUC-RS, respectivamente.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Roubo de contas em sites de apostas será prato cheio para o Cibercrime, alerta relatório

De acordo com dados coletados pela LexisNexis Risk Solutions, o crescimento das casas de apostas online podem fazer aumentar a...
Security Report | Destaques

Hackers utilizam WhatsApp para roubar números de telefone, aponta pesquisa

A ESET explica como é o roubo de contas, como configurar a autenticação em duas etapas para se proteger e...
Security Report | Destaques

RSA na visão dos CISOs: Líderes analisam papel da SI e chegada de novas tecnologias

Com presença expressiva de CISOs brasileiros, a RSA Conference trouxe tendências de posicionamento da categoria, bem como as novas estratégias...
Security Report | Destaques

Ypê aposta em tecnologia para automatizar privacidade dos usuários

Empresa contou com a parceria da NovaRed e garantiu uma redução significativa de tempo gasto nas respostas em requerimentos da...