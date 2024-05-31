Recentemente, o United States Government Accountability Office emitiu uma atualização sobre o progresso da Ordem Executiva 14028, Melhoria da Cibersegurança da Nação.
Em 2021, a Casa Branca identificou 55 requisitos de liderança e supervisão que precisavam ser atendidos para melhorar a cibersegurança em sistemas federais de TI, com todos os sistemas precisando atender ou exceder a norma descrita. A Ordem Executiva (14028) sobre Melhoria da Cibersegurança da Nação detalhou as razões da exigência, afirmando que "prevenção, detecção, avaliação e remediação de incidentes cibernéticos são prioridades máximas e essenciais para a segurança nacional e econômica".
Além disso, a ordem executiva (EO) disse que a conclusão dessas etapas era essencial, pois o governo deve liderar pelo exemplo para incentivar o setor privado a também reduzir o risco de violações e ataques à segurança cibernética.
A EO designou as agências responsáveis pela implementação dos requisitos: a Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA), o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) e o Office of Management and Budget (OMB).
Os principais requisitos desse pedido se concentraram em soluções de cibersegurança, incluindo:
A atualização de abril de 2024 relatou que as três agências responsáveis concluíram 49 dos requisitos. O requisito de padronização do playbook para responder a vulnerabilidades e incidentes de cibersegurança foi determinado como não aplicável. Além disso, os órgãos atenderam parcialmente aos cinco requisitos restantes.
Dos principais requisitos, a modernização da cibersegurança do governo federal é o único completamente atendido. Os esforços nessa área incluíram a implementação ou o início da implementação de uma arquitetura zero trust para órgãos federais, a segurança de serviços de nuvem e a centralização do acesso aos dados de cibersegurança.
Outras iniciativas incluíram lidar com dados não classificados, fazer progresso na implementação da autenticação multifator e da criptografia e desenvolver uma documentação de arquitetura de referência técnica para segurança na nuvem.
Boletim informativo do setor
Mantenha-se atualizado sobre as tendências mais importantes (e intrigantes) do setor em IA, automação, dados e muito mais com o boletim informativo Think. Consulte a Declaração de privacidade da IBM.
Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.
Embora a atualização tenha elogiado as agências por seus esforços para melhorar a cibersegurança federal, a conclusão destacou a importância de cumprir os requisitos remanescentes.
Os cinco requisitos restantes são:
Embora o OMB tenha incorporado parcialmente uma análise de custos no processo orçamentário anual, ele não forneceu evidências para detalhes sobre a implementação de todos os requisitos de liderança e supervisão na ordem.
A CISA e o OMB auxiliaram o NIST com os critérios e diretrizes para as medidas de segurança de software do governo federal necessárias. CISA, OMB e NIST também criaram uma definição de software crítico e uma lista preliminar de categorias comuns de software que são consistentes com essa definição. No entanto, a CISA não emitiu a lista de categorias comuns de software até o prazo de setembro de 2023.
A CISA não forneceu evidências das medidas adotadas para melhorar as operações por meio de recomendações para melhorar as operações futuras. A atualização afirma que essa etapa é fundamental para permitir que o conselho conduza efetivamente suas avaliações de incidentes futuros.
Embora o OMB tenha relatado que incorporou a detecção e resposta de endpoint (EDR) em sua orientação às agências para envio de orçamento e incluiu a EDR na lista de métricas da FISMA no ano fiscal de 2023, a agência não conseguiu apresentar comprovação dessa documentação. A atualização compartilha a preocupação de que, sem a prova, é possível que as agências não recebam financiamento suficiente para iniciativas de EDR.
O OMB deu orientações às agências sobre a criação de log, como retenção de logs e gerenciamento de logs. No entanto, o OMB não demonstrou que os órgãos do governo tinham recursos suficientes para implementar o registro, a retenção de registro ou o gerenciamento de log.
A atualização fez recomendações específicas de ações executivas para os cinco requisitos restantes a serem concluídos até 31 de dezembro de 2024.