fbpx

Departamento de Defesa obriga cibersegurança

Posted on

O Departamento de Defesa Norte-americano, desenvolveu uma certificação de maturidade em cibersegurança e agora obriga seus fornecedores à adotarem as medidas.

A notícia foi divulgada pela CISO Katie Arrington, em uma recente entrevista para a revista BreakingDefense.

Segundo Arrington, os Estados Unidos investia em segurança para seu departamento, mas com as relações comerciais, os países começaram a atacar seus fornecedores em busca de informações sigilosas.

Infraestrutura crítica

Não é a primeira vez que vemos isto acontecer, no governo Obama, foi emitido uma ordem presidencial, que todos os fornecedores de serviços críticos, como energia, água e suprimentos, deveriam adotar normas de cibersegurança emitidas pelo NIST.

O documento de segurança em infraestrutura crítica, ficou tão bom, que foi adotado como modelo por empresas de serviços críticos em todo mundo, e o Brasil inclusive.

Este modelo e a ordem presidencial, foram justificados, após alguns ataques de malware terem desligado subestações de energia elétrica e sistemas de água em alguma cidades, dentro do território americano.

Outros exemplos de leis

Ao longo da carreira em segurança da informação, dentro de Governança, Risco e Conformidade; você verá que muitas empresas precisam adotar alguns controles de segurança, por força de lei.

Nos Estados Unidos por exemplo, existe a HIPAA, Sarbanex Oxley (SOX ou SARBOX) e outras leis que obrigam controles de segurança.

No Brasil, entidades bancárias devem seguir normas do Bacen, e empresas reguladas por agências, seguem as normas da Aneel, Anatel, entre outras.

A própria LGPD e Marco Civil da Internet, impuseram controles de segurança e privacidade, através da lei.

Empresas Privadas

Em empresas privadas, fica um pouco mais difícil obrigar fornecedores à seguirem regras de segurança.

As empresas de cartão de crédito, Visa, MasterCard e Amex; criaram à algum tempo atrás um conjunto de requisitos de segurança chamado PCI/DSS, ou popularmente conhecido como PCI.

Para que se tornasse efetivo, as bandeiras exigiam que empresas adotassem e emitissem relatórios de auditores independentes, certificando a implantação dos controles.

Uma empresa pode colocar em contato com um parceiro, que este utilize certos requisitos de segurança, porém isso não é muito comum de acontecer.

Parece que o mundo está mudando, não é mesmo?

Torne-se membro

Já pensou em trabalhar com segurança no Brasil ou em qualquer outro país?

Torne-se membro de nossa comunidade e receba gratuitamente notícias e análise de vagas na área de segurança, e prepare-se para o mercado que dispõe de um grande número de vagas.

créditos de imagem destacada

Tecnologia foto criado por aleksandarlittlewolf – br.freepik.com

Categories:notícias

Author: fabio

Fabio Sobiecki é analista de sistemas, formado pela Unopar e especialista em Segurança da Informação pelo Senac e possui MBA pela FGV. Desde 2004, trabalha com Segurança da Informação, entre 1998 e 2004, trabalhou com tecnologia da informação, na área de infraestrutura e redes de computadores. Fabio Sobiecki é certificado pelo (ISC) 2 como CISSP e CCSP, desde 2008 e 2017, respectivamente. Atualmente, ele é presidente do capítulo de São Paulo (ISC) 2 e é engenheiro de soluções na RSA.