cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


Em 2005, o Computer Security Resource Center (CRSC) publicou o NIST 800-53: a publicação “Security and Privacy Controls for Information Systems and Organizations”. Esta publicação especial contém orientações valiosas para organizações que buscam reduzir o risco. No entanto, sua última iteração, Revisão 4, foi lançada em abril de 2013. Já era hora de uma atualização.

No início deste ano, o NIST publicou o SP 800-53 Revisão 5. A revisão foi seguida pelo NIST SP 800-53B, o Linhas de base de controle para sistemas de informação e organizações, que descreve as práticas recomendadas para organizações que buscam mitigar riscos. Crucialmente, ele posiciona os programas de divulgação de vulnerabilidade (VDPs) como um componente central de cada estratégia de segurança.

No entanto, antes de atualizar sua estratégia de segurança para cumprir as diretrizes do NIST, é importante entender alguns componentes principais. Continue lendo para aprender sobre as recomendações atualizadas do NIST e como você pode aproveitar essas práticas recomendadas para reduzir o risco.

Aumentando sua resistência a ataques

Por anos, as principais organizações têm aproveitado VDPs e programas de recompensa de bugs para encontrar e corrigir vulnerabilidades antes que possam ser exploradas. A última revisão recomenda que todas as organizações usem um VDP para “garantir que as vulnerabilidades potenciais no sistema sejam identificadas e tratadas o mais rápido possível”. Especificamente, isso aparece na seção 800-53 RA-5 (11) – Monitoramento e verificação de vulnerabilidades | Programa de Divulgação Pública do seguinte modo:

(11) MONITORAMENTO E DIGITALIZAÇÃO DA VULNERABILIDADE | PROGRAMA DE DIVULGAÇÃO PÚBLICA

Estabeleça um canal de relatório público para receber relatórios de vulnerabilidades em sistemas organizacionais e componentes do sistema.

O canal de denúncias pode ser descoberto publicamente e contém linguagem clara, autorizando pesquisas de boa fé e a divulgação de vulnerabilidades para a organização. A organização não condiciona sua autorização à expectativa de não divulgação indefinida ao público pela entidade que relata, mas pode solicitar um período de tempo específico para corrigir adequadamente a vulnerabilidade.

A seção recomenda fortemente que as organizações implementem algo “tão simples quanto publicar um endereço de e-mail monitorado ou formulário da web que pode receber relatórios” de vulnerabilidades potenciais descobertas por hackers e pesquisadores amigáveis. Mas o NIST também vai além, acrescentando que a obscuridade é um pensamento desatualizado e perigoso. Em vez disso, as equipes de segurança devem “geralmente esperar que tal pesquisa aconteça com ou sem sua autorização”. Ignorar relatórios recebidos ou permitir que não sejam verificados é em si uma vulnerabilidade.

Leia Também  SAP Fieldglass para gerenciamento flexível de habilidades especializadas externas com segurança de primeira classe (estudo de caso de Sirkorsky) - SAP Japan Blog

Em vez disso, as organizações devem “usar canais públicos de divulgação de vulnerabilidades para aumentar a probabilidade de que as vulnerabilidades descobertas sejam relatadas diretamente à organização para correção”. A revisão 5 também faz referência à ISO 29147 como orientação para a implementação desses programas, um excelente padrão no qual baseamos os fluxos de trabalho principais para o HackerOne Response.

Os programas de recompensa de bugs também são chamados como uma ferramenta para “incentivar ainda mais os pesquisadores de segurança externos a relatar as vulnerabilidades descobertas”. Os programas de recompensa vêm em muitos sabores, e até mesmo o NIST explica como eles podem ser personalizados para atender às necessidades de qualquer organização. O HackerOne Bounty oferece flexibilidade incrível com programas de recompensa de bugs públicos ou privados e programas com limite de tempo para atender às necessidades de testes estruturados.

Mais valor para organizações não governamentais

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

As agências federais administram e são estruturadas de maneira diferente das organizações do setor privado. A revisão 5 reconhece isso e, em um esforço para tornar o documento utilizável e útil para todos, mudou suas linhas de base de controle e orientação de adaptação para subdocumentos separados. Isso mantém as diretivas para organizações federais, mas também libera suas orientações de segurança e redução de risco para serem usadas por outras organizações para melhorar seus próprios esforços de segurança e privacidade.

Em essência, a Revisão 5 foi reestruturada para fornecer uma estrutura de segurança e privacidade personalizável para qualquer organização. Essa flexibilidade e orientação permitem que você construa ou expanda seus esforços de segurança com base em seus próprios negócios e necessidades do setor.

Modernizado para a tecnologia de hoje e as ameaças de hoje

Leia Também  Prêmio Nokia Bell Labs de US $ 100 mil

A revisão 5 inclui uma nova linguagem para gerenciamento de risco além de suas paredes para incorporar o gerenciamento de risco em toda a cadeia de abastecimento. A intenção é “proteger os componentes do sistema, produtos e serviços que fazem parte de sistemas e infraestruturas críticas”. Isso é cada vez mais importante à medida que as empresas e seus fornecedores, parceiros e clientes se tornam mais conectados digitalmente para otimizar as operações e acelerar a entrega de bens e serviços.

Todos nós já ouvimos histórias de violações originadas de sistemas de terceiros. Essas atualizações novamente apresentam uma abordagem realista de como as organizações atuais operam. Os novos controles têm o objetivo de trazer mais atenção e mais controles para os riscos potenciais em toda a sua cadeia de suprimentos.

Os próprios riscos continuam a evoluir com nosso mundo digital. A revisão 5 adiciona “novos controles de estado da prática” que são “necessários para proteger os ativos críticos e de alto valor das organizações, incluindo a privacidade de indivíduos e informações de identificação pessoal”. Esses novos controles, afirma o NIST, baseiam-se nas mudanças de ameaças vistas pela comunidade de segurança, bem como em protocolos modernos e governança organizacional projetada para manter as medidas de segurança avançando junto com a tecnologia e os invasores.

Divulgação pública: uma prática recomendada do NIST

Como um complemento da Revisão 5, o NIST lançou o SP 800-53B, que apresenta as melhores práticas para organizações que buscam mitigar seus riscos. De acordo com essas diretrizes, toda organização deve implementar um VDP, independentemente do nível de risco esperado.

SP 800-53B tem ramificações cruciais para agências federais. Embora as diretrizes do NIST não sejam regulamentares, o Federal Information Security Modernization ACT (FISA) e a Circular A-130 do OMB exigem que as agências federais implementem um conjunto mínimo de controles do SP 800-53. Simplificando, um VDP não é mais opcional para agências e organizações que trabalham com o governo federal. O NIST reconhece a divulgação pública como vital para proteger os sistemas e ativos de informações federais.

Leia Também  Armadilhas inesperadas quando se pensa em idéias de inicialização

“Muitos programas e organizações externos dependem das recomendações do NIST para ajudar a proteger os sistemas de nuvem, saúde, finanças, transporte, manufatura, defesa e controle industrial”, disse Ron Ross, um membro do NIST e autor do SP 800-53B. “É nosso objetivo dar a todos eles o tipo certo de proteção.”

The Bottom Line

O objetivo final do NIST é “tornar os sistemas de informação dos quais dependemos mais resistentes à penetração a ataques; limitar os danos dos ataques quando eles ocorrerem; e tornar os sistemas resilientes e resistentes ”.

A primeira etapa é iniciar sua organização com um VDP. Aproveitar um programa contínuo de recompensa por bugs pode aumentar ainda mais sua resistência a ameaças.

Para saber mais sobre VDPs, consulte “Os 5 componentes críticos de uma política de divulgação de vulnerabilidade”.

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br