O Departamento de Defesa Norte-americano, desenvolveu uma certificação de maturidade em cibersegurança e agora obriga seus fornecedores à adotarem as medidas.
A notícia foi divulgada pela CISO Katie Arrington, em uma recente entrevista para a revista BreakingDefense.
Segundo Arrington, os Estados Unidos investia em segurança para seu departamento, mas com as relações comerciais, os países começaram a atacar seus fornecedores em busca de informações sigilosas.
Infraestrutura crítica
Não é a primeira vez que vemos isto acontecer, no governo Obama, foi emitido uma ordem presidencial, que todos os fornecedores de serviços críticos, como energia, água e suprimentos, deveriam adotar normas de cibersegurança emitidas pelo NIST.
O documento de segurança em infraestrutura crítica, ficou tão bom, que foi adotado como modelo por empresas de serviços críticos em todo mundo, e o Brasil inclusive.
Este modelo e a ordem presidencial, foram justificados, após alguns ataques de malware terem desligado subestações de energia elétrica e sistemas de água em alguma cidades, dentro do território americano.
Outros exemplos de leis
Ao longo da carreira em segurança da informação, dentro de Governança, Risco e Conformidade; você verá que muitas empresas precisam adotar alguns controles de segurança, por força de lei.
Nos Estados Unidos por exemplo, existe a HIPAA, Sarbanex Oxley (SOX ou SARBOX) e outras leis que obrigam controles de segurança.
No Brasil, entidades bancárias devem seguir normas do Bacen, e empresas reguladas por agências, seguem as normas da Aneel, Anatel, entre outras.
A própria LGPD e Marco Civil da Internet, impuseram controles de segurança e privacidade, através da lei.
Empresas Privadas
Em empresas privadas, fica um pouco mais difícil obrigar fornecedores à seguirem regras de segurança.
As empresas de cartão de crédito, Visa, MasterCard e Amex; criaram à algum tempo atrás um conjunto de requisitos de segurança chamado PCI/DSS, ou popularmente conhecido como PCI.
Para que se tornasse efetivo, as bandeiras exigiam que empresas adotassem e emitissem relatórios de auditores independentes, certificando a implantação dos controles.
Uma empresa pode colocar em contato com um parceiro, que este utilize certos requisitos de segurança, porém isso não é muito comum de acontecer.
Parece que o mundo está mudando, não é mesmo?
Torne-se membro
Já pensou em trabalhar com segurança no Brasil ou em qualquer outro país?
Torne-se membro de nossa comunidade e receba gratuitamente notícias e análise de vagas na área de segurança, e prepare-se para o mercado que dispõe de um grande número de vagas.
créditos de imagem destacada
Tecnologia foto criado por aleksandarlittlewolf – br.freepik.com