O que é a CISA?
A Agência de Segurança Cibernética e de Infraestrutura (CISA, Cybersecurity and Infrastructure Security Agency) é um componente do Departamento de Segurança Interna dos Estados Unidos (DHS) responsável pela segurança cibernética e proteção da infraestrutura em todos os níveis de governo, coordenando programas de segurança cibernética com os estados americanos e aprimorando as proteções de segurança cibernética do governo contra hackers privados e patrocinados por Estados-nação.
A CISA é responsável por ajudar a salvaguardar as infraestruturas críticas do país e as reuniões públicas, melhorando a capacidade das partes interessadas de mitigar os riscos. Para atingir esse objetivo, a CISA lidera um esforço colaborativo para garantir a segurança, a resiliência e a fiabilidade dos sistemas ciber-cibernéticos do país. A CISA impulsiona os esforços nacionais através da colaboração com o setor privado, a academia e os parceiros governamentais para construir uma força de trabalho de cibersegurança diversificada, fomentar o desenvolvimento e a utilização de tecnologias seguras e promover as melhores práticas.
O que é o Zero Trust?
Conforme definido pelo Instituto Nacional de Normas e Tecnologia (NIST, National Institute of Standards and Technology) 800-207, “Zero Trust é o termo para um conjunto em evolução de paradigmas de cibersegurança que desloca as defesas de perímetros estáticos baseados em rede para se focar nos utilizadores, ativos e recursos.”
Para estabelecer as diretrizes do Zero Trust, o NIST e a Agência de Segurança Cibernética e de Infraestrutura (CISA, Cybersecurity and Infrastructure Security Agency) examinaram como as redes federais estavam a ser protegidas e como os dados e ativos nessas redes eram protegidos em toda a indústria.
O NIST e a CISA concluíram que a maioria das organizações depende fortemente das suas defesas baseadas no perímetro, como firewalls e VPNs, para controlar o acesso inicial às redes. No entanto, uma vez que os utilizadores obtinham acesso à rede, as suas atividades não eram devidamente monitorizadas ou registadas. As medidas de segurança de perímetro tradicionais geralmente consideram todos os utilizadores fidedignos uma vez dentro de uma rede — incluindo agentes de ameaças e insiders maliciosos. O Zero Trust ajuda as organizações a prevenir violações de dados e a proteger ativos, assumindo que nenhuma entidade é fidedigna dentro ou fora da rede. O conceito de Zero Trust reconhece que, quando se trata de segurança, a confiança é uma vulnerabilidade.
O que é o CISA Zero Trust Maturity Model 2.0?
O Zero Trust Maturity Model (ZTMM) da CISA fornece uma abordagem para alcançar esforços contínuos de modernização relacionados com o Zero Trust num ambiente e panorama tecnológico em rápida evolução. Este ZTMM é um de muitos caminhos que uma organização pode seguir na conceção e implementação do seu plano de transição para arquiteturas Zero Trust, de acordo com a Ordem Executiva (OE) 14028 “Improving the Nation’s Cybersecurity” (3)(b)(ii),1 que exige que as agências desenvolvam um plano para implementar uma Arquitetura Zero Trust (ZTA). Embora o ZTMM seja adaptado para agências federais, conforme exigido pela Ordem Executiva 14028, todas as organizações devem rever e considerar a adoção das abordagens descritas neste documento.
Quais são os pilares do Zero Trust Maturity Model (ZTMM) da CISA?
O Zero Trust Maturity Model da CISA está dividido em cinco pilares fundamentais de Zero Trust: Identidade, Dispositivos, Redes, Aplicações e Cargas de Trabalho e Dados. Cada pilar contém requisitos que se alinham com os níveis de maturidade (tradicional, inicial, avançado, ótimo).
- Identidade: Foca-se na verificação e autenticação de utilizadores e dos seus dispositivos associados.
- Dispositivos: Garante que os dispositivos estão seguros e são devidamente geridos, independentemente da propriedade.
- Redes: Foca-se na gestão do tráfego de rede interno e externo em vez de depender exclusivamente de perímetros.
- Aplicações e cargas de trabalho: Implementa controlos de acesso granulares e políticas de proteção para aplicações locais e baseadas na nuvem.
- Dados: Monitoriza e encripta continuamente os dados, independentemente do seu estado.
O CISA ZTMM também suporta três funcionalidades transversais:
- Visibilidade e Análise: Fornece informações detalhadas sobre o tráfego de rede e a postura de segurança.
- Automação e Orquestração: Simplifica tarefas e automatiza processos de segurança.
- Governação: Estabelece políticas e normas para a gestão da segurança.
Que organizações podem usar o CISA ZTMM 2.0?
O NIST ZTMM 2.0 foi desenvolvido como um manual para que as agências governamentais dos EUA mantenham e melhorem a cibersegurança à medida que transformam digitalmente os seus processos e sistemas. No entanto, demonstrou ser suficientemente flexível para ser adotado voluntariamente por empresas e organizações de todas as dimensões e setores da indústria.
Quais são as penalidades por incumprimento do CISA ZTMM 2.0?
A adesão ao ZTMM da CISA é voluntária. No entanto, a prova de que uma organização segue as melhores práticas do Framework do NIST pode fornecer uma camada de defesa contra multas e penalidades em caso de violação de dados, demonstrando os esforços de boa-fé da organização em segurança da informação.
Como é que a Thales ajuda na conformidade com o CISA ZTMM 2.0?
As soluções da Thales podem ajudar as organizações a cumprir os requisitos do CISA Zero Trust Maturity Model 2.0, simplificando a conformidade e automatizando a segurança, reduzindo a carga sobre as equipas de segurança e conformidade.
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.