27.8 C
São Paulo
terça-feira, janeiro 21, 2025
InícioTransformação digitalComo Escolher Tecnologias Seguras e Verificáveis

Como Escolher Tecnologias Seguras e Verificáveis

O Centro Australiano de Segurança Cibernética (ACSC), vinculado à Diretoria de Sinais Australianos (ASD), publicou recentemente um guia estratégico do grupo “Escolhendo Tecnologias Seguras e Verificáveis”, com o objetivo de ajudar organizações a realizar aquisições de tecnologias de forma mais segura e informada. Direcionado a executivos seniores, especialistas em segurança cibernética, consultores de risco, profissionais de compras e fabricantes de produtos e serviços digitais, o documento apresenta orientações práticas para identificar, avaliar e gerenciar riscos em aquisições tecnológicas ao longo de todo o seu ciclo de vida.

Com o aumento das ameaças à cadeia de suprimentos digitais, como vulnerabilidades em softwares, dispositivos IoT e serviços em nuvem, a escolha de tecnologias confiáveis ​​tornou-se uma prioridade estratégica. O guia oferece um conjunto de boas práticas, recomendações e critérios adaptáveis ​​que buscam mitigar riscos e melhorar a resiliência digital das organizações.

O Desafio da Segurança na Cadeia de Suprimentos Digital

O ambiente digital global enfrenta ameaças crescentes à sua cadeia de suprimentos. Vetores de ataque cada vez mais sofisticados têm vulnerabilidades exploradas em tecnologias adquiridas por organizações, expondo os riscos financeiros, operacionais e reputacionais. Neste cenário, a tomada de decisão informada na aquisição de tecnologias tornou-se uma crítica.

Sem titulo
Fonte: Australian Cyber ​​Security Centre

O guia do ACSC é uma resposta a essa realidade, fornecida um arcabouço para entender os riscos associados a cada etapa do processo de aquisição. Desde a avaliação pré-compra até a gestão pós-implementação, o documento visa integrar a segurança como elemento fundamental na escolha de tecnologias.

Principais Diretrizes do Guia

1. Compreendendo os Riscos na Aquisição de Tecnologia

Antes de adquirir qualquer tecnologia, é essencial compreender os riscos envolvidos. O guia aborda vetores de ataque comuns na cadeia de suprimentos, como:

  • Compromisso de software durante o desenvolvimento ou distribuição.
  • Vulnerabilidades em hardware, incluindo dispositivos IoT.
  • Exposição a ameaças cibernéticas em serviços na nuvem, como SaaS e MSP.

Além de descrever esses riscos, o documento fornece estratégias práticas para avaliá-los e mitigá-los antes da compra.

2. Práticas de Aquisição Externa

A escolha de fornecedores confiáveis ​​é um dos pilares da segurança na cadeia de suprimentos. Para isso, o guia recomenda que as organizações priorizem:

  • Transparência dos fabricantes, com informações claras sobre o processo de desenvolvimento e implementação dos produtos.
  • Princípios de segurança por design, garantindo que a segurança esteja incorporada desde a concepção.
  • Certificações de segurança, como ISO 27001 e outras normas reconhecidas internacionalmente.
  • Modelagem de ameaças, para prever potenciais vulnerabilidades e formas de mitigação.
  • Garantia de interoperabilidade, assegurando que os produtos adquiridos sejam compatíveis com a infraestrutura existente.

3. Avaliação Interna da Organização

As decisões de aquisição deverão ser alinhadas às políticas internacionais de segurança cibernética e à infraestrutura existente. O guia recomenda que as organizações estejam disponíveis:

  • Limites de risco interno, com base no apetite por risco da empresa.
  • A compatibilidade das tecnologias com as políticas de segurança e compliance.
  • O planejamento do ciclo de vida da tecnologia, incluindo manutenção, atualizações e gerenciamento de incidentes.

Esses critérios ajudam a criar um alinhamento estratégico entre a tecnologia adquirida e os objetivos organizacionais.

4. Seguro por Design e Seguro por Padrão

O documento destaca a importância das tecnologias sendo desenvolvidas com segurança como prioridade. O conceito de seguro por design propõe que a segurança seja integrada desde os primeiros estágios de desenvolvimento, enquanto o seguro por padrão sugere que as configurações padrão dos produtos sejam as mais seguras possíveis.

Os fabricantes são orientados a adotar práticas rigorosas de validação de segurança e testes frequentes para identificar e corrigir vulnerabilidades antes que elas sejam exploradas.

Integração de Boas Práticas na Organização

Com base nas diretrizes do guia, as organizações são incentivadas a adotar práticas que promovam a segurança de ponta a ponta:

  • Realizar avaliações pré-compra, utilizando os critérios fornecidos para avaliar a transparência e a conformidade dos fornecedores.
  • Desenvolver políticas internacionais de aquisição que priorizem a segurança no ciclo de vida das tecnologias, desde a compra até a desativação.
  • Consultar recursos complementares e padrões internacionais para suporte técnico e operacional.

Além disso, o documento ressalta que a orientação não deve ser vista como uma lista de verificação, mas como uma estrutura flexível que pode ser adaptada às necessidades de cada organização.

Colaboração Internacional e Impacto Global

O guia foi desenvolvido em parceria com agências de segurança cibernética de vários países, incluindo:

  • Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
  • Centro Canadense de Segurança Cibernética (CCCS).
  • Centro Nacional de Segurança Cibernética do Reino Unido (NCSC-UK).
  • NCSC da Nova Zelândia.
  • Serviço Nacional de Inteligência da Coreia do Sul (NIS).

Essa colaboração internacional reflete o compromisso global em fortalecer a resiliência cibernética e garantir que organizações em todo o mundo tenham acesso a práticas e orientações de ponta para mitigar riscos tecnológicos.

Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!

Postagens recomendadas
Outras postagens