Diventa Autore per CoreTech | Scopri di più
02/05/22 CoreTech Blog
All'inizio di ottobre, il Comitato per la sicurezza interna e gli affari governativi ha annunciato una legislazione bipartisan che farà ondate di sicurezza informatica civile federale. Questa mossa per rivedere il Federal Information Security Management Act (FISMA) del 2014 è particolarmente degna di nota in quanto il governo è diventato il settore più preso di mira nell'ultimo anno, con incidenti di alto profilo che fanno luce su diverse aree di miglioramento.
Molto è cambiato dal 2014, quando il disegno di legge FISMA è stato aggiornato l'ultima volta dal Congresso. Attacchi come l'hacking SolarWinds del 2020, che ha scoperto lacune nella copertura della sicurezza per i fornitori di servizi di terze parti, dimostrano che la minaccia si è intensificata. I nuovi requisiti all'interno della legislazione consentono una maggiore trasparenza e responsabilità in merito alla sicurezza del software, in particolare per coloro che creano o gestiscono software a titolo federale.
Un solido programma di sicurezza delle applicazioni (AppSec) è fondamentale per la scansione e il test di app Web che, se lasciate deselezionate o gestite in modo errato, possono lasciare intere agenzie vulnerabili alle minacce alla sicurezza informatica. Gli emendamenti alla legislazione sottolineano quanto possa essere vasto il panorama delle minacce, soprattutto quando le diverse agenzie hanno i propri processi e set di strumenti.
Per aiutare a compensare questi e altri ostacoli, una manciata di requisiti guiderà il modo in cui il governo gestisce la sicurezza informatica andando avanti. Le modifiche notevoli includono:
Ridurre il periodo di notifica per le violazioni informatiche a 72 ore, che è più in linea con gli standard di notifica delle violazioni del settore privato.
Richiedere ai leader dell'agenzia di condurre l'analisi iniziale di una violazione e, se necessario, informare i cittadini interessati entro 30 giorni dall'incidente.
Comprendere i punti di forza e di debolezza delle varie agenzie per migliorare i processi, rafforzare la collaborazione e condividere le responsabilità di sicurezza.
Le agenzie federali, come i team all'interno di un'organizzazione, possono finire per lavorare in silos a causa di barriere di comunicazione e processi antiquati. La necessità di un approccio più olistico alla sicurezza informatica all'interno del governo federale è chiara, soprattutto perché continuano a emergere minacce significative. La legislazione pone l'accento sulla necessità di interconnettività tra le agenzie, che è fondamentale quando si valuta dove le carenze di competenze e processi potrebbero avere un impatto negativo sulle misure di sicurezza.
Con cambiamenti così importanti all'orizzonte, da dove dovrebbero iniziare le organizzazioni se vogliono prepararsi? Le linee guida per la gestione del rischio delineate per il governo dal National Institute of Standards and Technology (NIST) suggeriscono di appoggiarsi alle moderne piattaforme di test di sicurezza delle applicazioni dinamiche (DAST) e di test di sicurezza delle applicazioni interattive (IAST), con un'enfasi sull'auto -scoperta per identificare le risorse e verifica basata su prove per la convalida automatica dei difetti.
La Cybersecurity and Infrastructure Agency (CISA) raccomanda inoltre di operare nell'ambito dell'architettura Zero Trust (ZT), che, come definita dal NIST, "... presuppone che non vi sia alcuna fiducia implicita concessa alle risorse o agli account utente in base esclusivamente alla loro posizione fisica o di rete. " Ciò fornisce agli enti governativi (e a chiunque si occupi di dati sensibili) una maggiore protezione per risorse critiche come servizi, risorse, flussi di lavoro e account per migliorare la posizione di sicurezza.
