Uso da Lei de Modernização de Tecnologia do Governo para melhorar a segurança cibernética (agora)

Quando a Lei de Modernização da Tecnologia Governamental (Lei MGT) foi sancionada em 2017, seu objetivo era fornecer às agências fundos que elas pudessem aplicar em seus esforços de modernização de TI, incluindo aqueles relacionados à segurança cibernética. As agências podem solicitar financiamento do Fundo de Modernização Tecnológica, que foi criado para ajudá-las a abandonar sistemas legados e investir em tecnologias ágeis e transformadoras.

Acontece que a criação da Lei MGT provou ser ainda mais visionária do que qualquer um poderia imaginar.

Devido à COVID-19, a necessidade de modernizar sistemas de segurança cibernética legados e migrar para a nuvem aumentou muito. A pandemia também abriu uma porta para que hackers insidiosos explorem vulnerabilidades por meio de uma ampla gama de táticas, de ransomware a ataques DDoS/DoS e muito mais. Na verdade, no início deste ano, os EUA O Departamento de Segurança Interna e o Centro Nacional de Segurança Cibernética do Reino Unido emitiram um alerta severo sobre o aumento de malware e ransomware.

É claro que as ameaças à segurança estavam aumentando muito antes da COVID-19. De acordo com um relatório emitido pela Verizon perto dos estágios iniciais da pandemia, o ransomware foi responsável por 61% dos incidentes baseados em malware no setor público, com 33% das violações causadas por pessoas internas. E um relatório do início de 2020 da Cybersecurity & Infrastructure Security Agency (CISA) observa que “atores cibernéticos estrangeiros continuam a explorar vulnerabilidades de software publicamente conhecidas — e muitas vezes desatualizadas — contra amplos conjuntos de alvos, incluindo organizações dos setores público e privado”.

Não há perímetro

Mas a COVID-19 expandiu a superfície de ataque. O trabalho remoto agora é a norma, e os usuários estão cada vez mais dependentes de aplicativos baseados em nuvem. À medida que mais funcionários do governo trabalham em casa, as demandas de capacidade e segurança sobrecarregam os sistemas e processos.

Esses fatores representam desafios para as equipes de segurança de TI encarregadas de proteger redes cada vez mais distribuídas e uma variedade de aplicativos potencialmente vulneráveis. Enquanto antes eles dependiam de soluções de segurança tradicionais para defender seus perímetros de rede, hoje praticamente não há perímetros.

Dessa forma, as organizações devem considerar investir fundos da Lei MGT em diversas formas de proteção dinâmica para garantir que estejam seguros em diferentes frentes. Por exemplo, monitorar o acesso de usuários privilegiados e implementar protocolos de gerenciamento de identidade garante que apenas as pessoas certas tenham acesso a uma rede e a informações altamente confidenciais. Enquanto isso, as ferramentas de segurança de aplicativos oferecem proteção contra vulnerabilidades de API, injeção, ataques de script entre sites e muito mais.

As organizações também devem garantir que suas políticas de segurança sejam consistentes em plataformas de nuvem múltipla ou híbrida, o que pode oferecer grande flexibilidade e benefícios de custo, mas também introduzir uma enorme quantidade de complexidade. Diferentes provedores de nuvem aderem a várias políticas, incluindo modelos de responsabilidade compartilhada que estabelecem que o cliente é responsável pela segurança dos dados, e pode ser desafiador obter uma visão clara da segurança dos aplicativos em várias nuvens. Automatizar a segurança em ambientes locais e em vários ambientes de nuvem pode garantir que os aplicativos estejam sujeitos às mesmas políticas e permaneçam seguros, independentemente de onde estejam hospedados.

Uma estrutura para o sucesso

À medida que as agências consideram investir seus fundos disponíveis em novas tecnologias de segurança cibernética, elas também devem começar a criar estruturas de segurança cibernética para ajudá-las a colocar essas tecnologias em uso. A Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST) é um ponto de partida ideal.

O NIST Cybersecurity Framework ajuda as agências a estabelecer melhores práticas de gerenciamento de riscos adotando uma abordagem holística do ciclo de vida para o gerenciamento de riscos. Usando as diretrizes estabelecidas pelo NIST, as agências avaliam e mitigam continuamente os riscos por meio de cinco funções principais: identificar, proteger, detectar, responder e recuperar. As tecnologias mencionadas se encaixam perfeitamente em todas essas categorias, pois fornecem visibilidade de possíveis vulnerabilidades e maneiras de remediá-las em caso de violação.

O NIST Cybersecurity Framework é uma ferramenta útil porque fornece às organizações uma estrutura padronizada por meio da qual elas podem criar programas de segurança altamente adaptáveis. Ele oferece flexibilidade para que as organizações possam personalizá-lo para atender às suas próprias necessidades específicas, ao mesmo tempo em que fornece um modelo comum para gerenciar riscos e abordar vulnerabilidades. As organizações podem incorporar suas próprias políticas de segurança ao Framework, aproveitando os padrões e práticas recomendadas do NIST.

Não Pague o Preço

De acordo com um relatório recente da Ponemon, o custo médio de uma violação de dados é de impressionantes US$ 3,86 milhões. Isso é impressionante, principalmente considerando que muitas organizações — incluindo agências governamentais — agora estão sendo solicitadas a fazer mais com menos, já que os orçamentos continuam restritos devido à pandemia.

É claro que as agências não podem se dar ao luxo de baixar a guarda, tanto literal quanto figurativamente. Agora é a hora de investir parte do dinheiro disponível por meio da Lei MGT em soluções de segurança cibernética modernas e automatizadas que protegerão contra ameaças em evolução, economizando dados e potencialmente milhões de dólares. Saiba mais sobre como as soluções F5 ajudam agências federais a proteger suas redes, reduzir custos e ter sucesso em suas missões.

Por Michael Coleman, Líder de Engenharia de Soluções Federais na F5