Como os novos requisitos federais de segurança cibernética afetam o cenário de compliance na nuvem para o setor privado
by Rackspace Technology Staff
Existe uma razão para que o aumento dos ataques de ransomware não tenha afetado diretamente os órgãos federais dos Estados Unidos. Os requisitos de segurança cibernética adotados pelo governo federal estão entre os mais rígidos do mundo.
O governo federal exigiu que, até este ano, todas as organizações que trabalham com agências governamentais cumpram suas abrangentes diretrizes de segurança cibernética. Muitas organizações do setor privado também serão obrigadas a seguir as mesmas normas rígidas — particularmente aquelas que trabalham na cadeia de suprimentos do país.
No ano passado, a segurança e a compliance na nuvem tornaram-se ainda mais prementes com a assinatura do Decreto 14028 pelo presidente Joe Biden, intitulado "Melhoria da Segurança Cibernética Nacional". O decreto foi criado para apoiar a postura de segurança cibernética do país e proteger a infraestrutura crítica e as redes governamentais federais que embasam a economia e o modo de vida da nação.
A missão de fortalecer a segurança cibernética dos EUA chegou a uma fase crucial, visto que um elo fraco na cadeia de suprimentos poderia atrapalhar a segurança do país de várias maneiras. Por exemplo, a brecha cibernética da SolarWinds se infiltrou em várias agências governamentais, inclusive na Casa Branca. O decreto 14028 visa corrigir elos fracos como esse.
Um cenário de segurança cibernética mais robusto beneficiará organizações individuais, seus parceiros e a nação. No entanto, chegar até lá será um desafio significativo para as organizações do setor privado não familiarizadas com o terreno.
Como atender aos requisitos federais de segurança cibernética
De acordo com o decreto 14028: "Proteger nossa nação de agentes cibernéticos maliciosos exige que o Governo Federal faça parceria com o setor privado. (...) O setor privado deve adaptar-se ao ambiente de ameaças continuamente mutável, garantir que seus produtos sejam construídos e funcionem com segurança e atuar em parceria com o Governo Federal para promover um ciberespaço mais seguro."
O decreto 14028 estabelece um framework para desenvolver e melhorar as práticas recomendadas e os protocolos atuais de segurança e exige que as organizações privadas atuantes na cadeia de suprimentos cumpram seus padrões de segurança. Cumprir os padrões significa atender a milhares de requisitos de quase uma dúzia de organizações reguladoras de segurança cibernética, tais como NIST, FedRAMP, HIPPA, DoD, FISMA e HITRUST CSF.
Entre os novos requisitos que os desenvolvedores de software do setor privado devem cumprir estão se tornar mais transparente quanto aos respectivos produtos e aplicar controles mais rigorosos. O decreto 14028 estipula que o setor privado deve adaptar-se ao ambiente de ameaças continuamente mutável, garantir que seus produtos sejam construídos e funcionem com segurança e atuar em parceria com o governo federal para promover um ciberespaço mais seguro. Por exemplo, alguns dos requisitos do novo decreto são:
- Os provedores de serviços devem comunicar todos os incidentes cibernéticos e informações sobre ameaças que afetem as redes governamentais.
- Os desenvolvedores de software devem proteger os serviços em nuvem, implementar arquitetura de confiança zero e exigir autenticação multifatorial e implantação de criptografia dentro de um determinado prazo.
- As organizações devem implementar normas basais de segurança para desenvolver os softwares vendidos ao governo, inclusive fornecendo maior visibilidade quanto ao software e aos dados se segurança publicamente disponíveis.
Atender aos padrões de segurança cibernética do governo federal pode ser um projeto de vários estágios e vários anos, ao custo de milhões de dólares. Para ilustrar a complexidade envolvida, cumprir apenas um critério nos requisitos do FedRAMP (autenticação com senha) exige que as empresas atendam às seguintes diretrizes:
- Complexidade mínima da senha, contagem de caracteres e uso de maiúscula/minúscula
- Número mínimo de caracteres alterados ao criar novas senhas
- Proteção criptográfica para todas as senhas armazenadas e transmitidas
- Restrições de mínimo e máximo na vida útil da senha
- Restrições de reutilização de senha
A Rackspace Technology® já está em conformidade federal
“A Rackspace Technology fornece segurança e compliance na nuvem para agências governamentais e empresas que trabalham com o governo há mais de 20 anos", disse Alysia Ford, gerente de produto IV, Serviços Governamentais — EUA. "Ajudamos agências e organizações a cumprir as rigorosas diretrizes do governo federal e a resolver desafios reais de segurança. Agora, as empresas públicas podem valer-se de nossas capacidades consagradas para desenvolver seu próprio programa de segurança cibernética e compliance aprovado pelo governo federal — economizando anos de trabalho e reduzindo significativamente o custo."
"A Rackspace Technology é um dos principais provedores de segurança e compliance na nuvem com credenciais aprovadas pelo governo federal", disse Jeffrey Tehovnik, engenheiro de produtos em Soluções Governamentais. “Por exemplo, conquistamos e mantivemos o nível Moderado do FedRAMP e a autorização JAB por mais de seis anos, incluindo autorizações de 17 agências. Somente 255 outras soluções de nuvem são autorizadas pelo FedRAMP, e apenas 197 delas são autorizadas no nível Moderado. Além disso, 20 agências do governo federal dos EUA analisaram os serviços da nossa plataforma de cibersegurança e os autorizaram para uso governamental."
Atualmente, a Rackspace Technology dá suporte a mais de 40 clientes na cadeia de suprimentos do governo, fornecendo ambientes altamente seguros e conformes.
Entre as capacidades de segurança e compliance com aprovação federal que as Soluções Governamentais Rackspace oferecem às organizações do setor privado para ajudá-las a ficarem conformes com o decreto 14028, estão:
- Avaliar o estado atual da organização e desenvolver uma estratégia e um roteiro para atender às novas diretrizes.
- Repassar os próprios "controles herdáveis" aprovados pelo governo federal para a organização, a fim de obter conformidade quanto à cibersegurança.
- Suplementar a equipe de segurança cibernética da organização com uma equipe elástica de especialistas que fornece suporte contínuo.
Entenda melhor o que será necessário para sua organização atender aos novos requisitos do governo federal.
Recent Posts
Sustentabilidade na interseção de tecnologia, meio ambiente e responsabilidade
Fevereiro 1st, 2024
O futuro da excelência em manufatura — Como três empresas adotaram uma nuvem de última geração
Setembro 27th, 2023
Destaques do Google Cloud Next '23 — IA e muito mais
Setembro 14th, 2023