Início Últimas notícias Segurança

Segurança reforçada

CISA propõe medidas robustas para proteger dados sensíveis dos EUA

A CISA propôs novas exigências de segurança para proteger dados sensíveis dos EUA, focando em evitar o acesso por estados adversários. Organizações como desenvolvedores de IA e empresas de telecomunicações serão impactadas.

por Jardeson Márcio

cisa-confirma-que-o-ambiente-da-sua-ferramenta-de-avaliacao-de-seguranca-quimica-csat-foi-comprometido-em-janeiro

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está sugerindo novas medidas de segurança para evitar que estados adversários acessem dados pessoais de cidadãos americanos e informações governamentais sensíveis.

CISA e a proteção de dados

Esses requisitos visam organizações que realizam transações restritas envolvendo grandes volumes de dados pessoais sensíveis dos EUA ou dados relacionados ao governo, especialmente quando expostos a “países de preocupação” ou “pessoas cobertas.”

A proposta está diretamente relacionada à implementação da Ordem Executiva 14117, assinada pelo presidente Biden no início deste ano, que visa combater vulnerabilidades graves de segurança de dados que aumentam os riscos à segurança nacional.

Organizações impactadas

As organizações afetadas incluem desenvolvedores de IA, provedores de serviços em nuvem, empresas de telecomunicações, organizações de saúde e biotecnologia, instituições financeiras e contratantes de defesa.

Notícias Relacionadas

Os “países de preocupação” referem-se a nações que o governo dos EUA considera adversárias ou que representam risco à segurança devido a um histórico de ciberespionagem, violações de dados e campanhas de hacking patrocinadas pelo estado.

Medidas de segurança propostas

A CISA sugere que as medidas de segurança sejam divididas em dois níveis: requisitos organizacionais/sistêmicos e requisitos para dados. Abaixo estão algumas dessas medidas:

  • Manter e atualizar mensalmente o inventário de ativos, incluindo endereços IP e endereços MAC de hardware;
  • Corrigir vulnerabilidades exploradas dentro de 14 dias;
  • Corrigir vulnerabilidades críticas (com status de exploração desconhecido) dentro de 15 dias e falhas de alta severidade em até 30 dias;
  • Manter uma topologia de rede precisa para facilitar a identificação e resposta a incidentes;
  • Implementar autenticação multifator (MFA) em todos os sistemas críticos, exigir senhas de pelo menos 16 caracteres e revogar o acesso de funcionários imediatamente após o desligamento ou mudança de função;
  • Impedir a conexão de hardware não autorizado, como dispositivos USB, a sistemas protegidos;
  • Coletar registros de eventos de acesso e segurança (IDS/IPS, firewall, prevenção de perda de dados, VPN, eventos de login);
  • Reduzir a quantidade de dados coletados ou mascará-los para impedir o acesso não autorizado e proteger dados sensíveis durante transações restritas, aplicando criptografia;
  • Não armazenar chaves de criptografia junto com os dados sensíveis ou em países de preocupação;
  • Aplicar técnicas como criptografia homomórfica ou privacidade diferencial para evitar a reconstrução de dados sensíveis a partir de dados processados.

A CISA está buscando feedback público para aprimorar a proposta antes de sua versão final. Interessados podem acessar regulations.gov, buscar CISA-2024-0029 e clicar no ícone “Comment Now!” para enviar seus comentários.

Assuntos

Mais Notícias

Acesse a versão completa
Sair da versão mobile