A publicação lançada ontem do Framework final
de Segurança Cibernética do NIST (Instituto Americano de Padrões e Tecnologia)
é uma chamada de ação para as companhias que manejam infraestruturas
críticas nos Estados Unidos. Com o foco central
de Framework mudando minimamente,
comparando-se com as versões prévias, se
faz um chamado a uma ampla gama de companhias desde finanças e cuidados de saúde, até energéticas e de tecnologias da informação , a
estar preparadas para adotar e provar que suas práticas de segurança
cibernética são consistentes com as práticas mencionadas. A diferença primordial
do rascunho preliminar é uma revisão ao seu setor de privacidade, posto
que os críticos perceberam que o
rascunho preliminar do setor de privacidade seria demasiado custoso para dissuadir a adoção massiva
do Framework que, até o momento, é
ainda voluntário.
O Framework de Segurança
Cibernética NIST: “Comercialmente razoável?”
No decorrer do tempo, com os incentivos federais
oferecidos e as indústrias aceitando e cumprindo com o Framework, é mais que
seguro que o setor privado se transportará
ao modelo de segurança cibernética NIST mediante a lei de
responsabilidade comum. Alguns especialistas em privacidade de dados já estão especulando
que o Framework se converta possivelmente em um padrão para o que se considera
“comercialmente razoável” para corporações que têm escrutínio dos reguladores ou
estejam relacionadas com um litígio relacionado à violação de dados.
Trabalhar com este padrão significa boa “cidadania corporativa”, boa segurança, bom
sentido de negócios? Muitos concordariam que efetivamente assim é… Entretanto, a
posição de nossa companhia é a de que o Framework
tem pouca efetividade em um área clave: falha no momento de chamar para uma pesquisa
ativa de ameaças em curso, risco proativo e inteligência de segurança. Desde o simples
ponto de vista de defesa própria organizacional tem sentido nesta era de propriedade
intelectual, legal e riscos da informação para que as organizações cumpram com os padrões mais rígidos possíveis
de segurança.
“Próximas práticas”: Inteligência
de Segurança Proativa para a Busca Prematura
de Ameaças
Um informe recente de uma pesquisa acerca de
Segurança de Dispositivos SANS mostra que mais de 47 por cento (47%) dos profissionais
em segurança corporativa acreditam que sua organização já foi comprometida em algum momento; está claro
que os sistemas de prevenção de intrusos
se constituem em um acercamento ineficiente para defender com eficácia contra as ameaças internas e externas aos dados
sensíveis. Os executivos que desejam garantir que nossas corporações estão excedendo seu dever de importância com respeito à segurança cibernética , lhes seria interessante adotar o Framework de Seguridade Cibernética
NIST como uma linha-base para, posteriormente, ir avançando até estabelecer a inteligência de segurança proativa.
Habilitando equipes de segurança da informação para encontrar de modo eficaz as ameaças, baseados
na inteligência prematura de todos os dispositivos corporativos, de forma que estejam
bem documentados e que possam ajudar ao
Conselho Corporativo, aos executivos
e diretórios e fazer um caso em qualquer momento em que hajam
encontrado ou excedido, o que provavelmente
converta-se no padrão de fato nos negócios americanos.
Mark Harrington é Conselheiro Geral e
Secretario Corporativo da Guidance Software e supervisa as responsabilidades
legais da companhia mundialmente. Leia o artigo original em inglês neste link: A Legal Perspective on the NIST Cybersecurity Framework
RELACIONADOS
A Infraestrutura da Cibersegurança: Identificação, Colaboração e Defesa Proativa
Guerra na Fronteira: Resposta a Incidentes vs. Investigação Forense
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment