A proteção física dos principais ativos no ciberespaço melhora coletivamente a segurança geral de toda a infraestrutura de rede pública e privada e é crucial para uma estratégia de segurança nacional.
Organizações privadas e governamentais são obrigadas a usar as diretrizes e melhores práticas como parte de uma estratégia geral de segurança nacional. O Departamento de Defesa dos EUA tem parcerias conjuntas e colaborativas com a indústria acadêmica e privada dedicada à pesquisa e ao desenvolvimento para melhorar coletivamente a segurança cibernética, e:
- Impedir ataques cibernéticos, reduzir a vulnerabilidade, minimizar danos, recuperação rápida;
- Reduza a vulnerabilidade;
- Minimize os danos;
- Recupere rapidamente.
O software desenvolvido comercialmente e os equipamentos de computação destinados ao uso em ambientes de alta segurança para o processamento de informações classificadas devem passar pelos padrões e regulamentos federais antes da implantação, conforme descrito no Conformidade DFARS (Suplemento do Regulamento de Aquisição Federal de Defesa).
Estratégia de Segurança Nacional: Criptográfico, Padrões, Avaliação e validação de segurança
Todas as comunicações internas e externas do sistema devem ser criptografadas de acordo com o regulamento. Como parte das expectativas de qualidade e segurança, uma avaliação do padrão de segurança do sistema deve ser validada de forma adequada e consistente.
Pesquisa em tecnologias de segurança emergentes
Todos novos ou em desenvolvimento tecnologias emergentes deve ser certificado como confiável e seguro antes de implementar. Estes são um prelúdio para se manter atualizado sobre os novos algoritmos de criptografia, tecnologias para software e dispositivos propostos.
Desenvolvimento de diretrizes para conscientização de segurança, Treinamento e Certificação
Vulnerabilidades de segurança, integridade de dados, e as mudanças de procedimentos devem aconselhar os líderes e usuários sobre como reconhecer boatos, erros e para distingui-los de ameaças de segurança genuínas. O treinamento e a certificação são essenciais para designar o pessoal adequado para monitorar, gerir, ou supervisionar esses sistemas em qualquer estratégia de segurança nacional. A principal responsabilidade é proteger os sistemas de informação críticos e produzir informações de ameaças relevantes e precisas em tempo real. A segurança de sistemas e tecnologias compatíveis envolve a proteção de informações confidenciais e classificadas por meio de tecnologias de criptografia.
Os padrões de segurança do ciberespaço
Para promover a conscientização da segurança nacional, o governo dos EUA implementa estratégias para educar e treinar em segurança cibernética padrões de política dentro da força de trabalho doméstica. As iniciativas documentam diretrizes para informar e certificar profissionais de segurança que trabalham em parceria com agências governamentais.
Um plano de avaliação de risco de segurança
Um plano de avaliação de risco bem elaborado deve abordar e determinar a probabilidade de uma violação de segurança potencial ou desastre. O plano fornecerá instruções passo a passo sobre a avaliação do impacto em que as tecnologias estão envolvidas, perda potencial, e orçamento. O Plano de Avaliação de Riscos de Segurança listará claramente quais sistemas e dados precisam de backup. A frequência do backup e o local seguro dos dados do backup.
Local de armazenamento de dados, Isolamento e Segurança
A compatibilidade e o sistema de arquivos preferido para a implementação de recuperação de armazenamento de dados seguro são essenciais ao implementar recursos de segurança avançados que fornecem acesso de controle a recursos armazenados em sistemas de disco. Fluxo de trabalho detalhado e fluxo de dados para arquivos específicos, diretórios, e objetos protegíveis que podem exigir permissão restrita a usuários e grupos específicos.
Criptografia e proteção de dados
Defina as tecnologias e protocolos de criptografia que serão usados para garantir a privacidade da comunicação eletrônica do sistema e para armazenar com segurança as informações em discos ou outros sistemas de armazenamento aos quais ele possa precisar se conectar. Um processo chamado “endurecimento” seus dispositivos bloqueiam qualquer tentativa possível de acessar dados criptografados de pessoas não autorizadas ou outros sistemas.
Autenticação e acesso limitado
Os esquemas de autenticação empregados devem atender ou exceder os padrões NSA para as tecnologias que requerem acesso do usuário ou acesso limitado. Cifras de simetrias inquebráveis para IDs de usuário e senhas autônomas ou senhas de uso único devem estar em conformidade e ser verificáveis dentro de seu esquema de autenticação.
Rastreamento e Auditoria
A tecnologia de tratamento de dados implementada deve incluir as ferramentas e procedimentos necessários para monitorar todas as atividades para proteger a integridade do sistema. Se é a rede ou dados, as ferramentas de segurança devem permitir uma medida legítima quantitativa e qualitativa do desempenho e integridade do sistema a qualquer momento. Uma análise de trilha de auditoria de segurança avançada deve aproveitar um log sequencial. Registros de auditoria precisos devem estar acessíveis a qualquer momento para verificar a aderência às políticas de segurança ou para melhorar a segurança do sistema. Outros usos importantes incluem resposta a incidentes e prevenção, Manutenção de sistema, alertando, e relatórios post-mortem.
Gerenciando áreas-chave de segurança cibernética
Teste aprimorado ou simulado para quebrar tecnologias de criptografia aplicadas antes e durante a implantação. Tem sido um fator benéfico aplicar os Guias de recomendação de segurança de alta tecnologia e informação sublinhados pela NSA, descrevendo as etapas para a configuração segura de diferentes sistemas operacionais. Como Microsoft Windows e Cisco IOS. Os guias da NSA estão sendo usados por muitos setores privados e agências governamentais como uma base para garantir a segurança de seus sistemas de informação.
Sobre o autor: Rick Delgado
Rick Delgado é um consultor de tecnologia de negócios para vários Fortune 500 empresas. Ele também é um colaborador freqüente de agências de notícias como a Wired, Tecnologia Page One, e Cloud Tweaks. Rick gosta de escrever sobre a interseção de negócios e novas tecnologias inovadoras.
