O governo americano publicou ontem suas diretrizes de segurança cibernética para todos os operadores de infraestruturas crítica, ou seja, as empresas de energia, telefonia, água, finanças, infraestrutura urbana etc. As diretrizes estruturam uma matriz de defesa para redes do tipo SCADA, por exemplo. O documento, chamado Framework for Improving Critical Infrastructure Security, tem 41 páginas e é o resultado da colaboração entre a indústria e o governo, numa compilação de normas e práticas de segurança cibernética. O conjunto de instituições padronizadoras dos EUA espera que os operadores do setor privado considerem essas recomendações ao construírem suas estratégias de segurança cibernética.
O presidente Obama declarou sobre o assunto: “Embora eu acredite que este documento seja um marco, é claro que muito mais trabalho precisa ser feito para melhorar a nossa segurança cibernética. A prosperidade econômica, a segurança nacional e as liberdades individuais da América dependem do nosso compromisso em proteger o ciberespaço e manter uma Internet aberta e interoperável, segura e confiável”.
O ‘Núcleo’ do documento estabelece os resultados, referências e atividades que as organizações podem usar para comunicar ‘estados’ por toda a organização. O Núcleo tem recomendações para cinco funções: identificar, proteger, detectar, responder e recuperar-se de um incidente, sendo assim um guia estratégico de alto nível para os operadores das infra-estruturas críticas.
As camadas de ‘Implementação’ descrevem as práticas atuais de uma organização e ajudam as equipes de segurança a determinar se os processos atuais estão alinhados ao risco, se são repetíveis e suficientemente adaptáveis para as ameaças atuais. Finalmente, o ‘Perfil’ estabelece os resultados desejados, em relação às necessidades do negócio. O documento diz que o Perfil é um alinhamento de normas, diretrizes e práticas para o Núcleo, para determinados cenários de implementação.
O documento está disponível em
http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity