Desde o nível estatal ao federal, a cibersegurança nos espaços governamentais é uma parte crucial das operações diárias, e a incapacidade de antecipar a evolução do comportamento e das tácticas criminosas pode ter um custo devastador. A Agência de Segurança Cibernética e Infraestrutura(CISA) descobriu que, no ano passado, os incidentes cibernéticos afetaram muitas empresas, organizações sem fins lucrativos e outras organizações de todos os tamanhos e em vários setores da economia. De acordo com o IBM X-Force Threat Intelligence Index para 2022, os ataques de acesso ao servidor foram o tipo mais comum contra o setor público em 2021. A segmentação do governo foi global, com 50% na Ásia, 30% na América do Norte e 10% cada para o Oriente Médio e África.

Com a segurança nacional, as finanças e a confiança do público em jogo, as entidades governamentais são um alvo comum de ciberataques. Para melhorar a cibersegurança e a resiliência, a CISA salienta que os líderes seniores devem estar envolvidos e conscientes dos riscos cibernéticos para as suas organizações e adotar uma abordagem proactiva para se prepararem para a probabilidade e o impacto de um compromisso potencialmente prejudicial.

Embora não exista uma solução única para uma cibersegurança infalível, saber como identificar e implementar a combinação certa de soluções seguras no seu ecossistema digital existente é fundamental para evitar uma potencial falha catastrófica em todo o sistema. Mas que caraterísticas deve procurar ao comprar software e soluções baseadas na nuvem que respondam à Ordem Executiva (EO) sobre Cibersegurança e defendam a abordagem multi-camadas à segurança necessária para proteger dados sensíveis?

Porque é que a cibersegurança é importante na administração pública

As grandes bases de dados que contêm informações altamente sensíveis tornam as entidades governamentais particularmente atractivas para os piratas informáticos. Um ataque bem sucedido contra uma base de dados da administração pública pode garantir a um criminoso um grande pagamento de dados extremamente sensíveis que pode depois utilizar para cometer uma série de outros crimes. Além disso, a largura de banda limitada para detetar e resolver atempadamente as falhas de segurança proporciona aos cibercriminosos amplos pontos de entrada e tempo para causar danos significativos antes de a falha de segurança poder ser identificada e corrigida.

Os ciberataques podem assumir muitas formas e cada violação, por mais pequena que seja, pode ter um efeito catastrófico que pode levar muito tempo a retificar e colocar em risco dados pessoais, cadeias de abastecimento e infra-estruturas críticas. Até mesmo erros simples, como a perda de um disco rígido ou o extravio de um dispositivo com acesso a bases de dados confidenciais, podem ser a oportunidade perfeita para que os malfeitores obtenham acesso ilimitado a nomes, endereços, números de segurança social e outros dados sensíveis.

A pandemia de Covid-19 aumentou as vulnerabilidades de muitas organizações governamentais e de saúde, o que levou a que o ransomware fosse descarregado por pessoas incautas para vários dispositivos pessoais, hospitalares e governamentais. Isto deu aos hackers a capacidade de aceder a documentos restritos, informações de pacientes, dados governamentais e até contas bancárias. Em 2021, foi enviada uma campanha de phishing através da plataforma de marketing por correio eletrónico Constant Contact, na qual os cibercriminosos se fizeram passar por representantes da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID). Estes e-mails foram enviados para mais de 3000 contas individuais em 150 organizações em todo o mundo e continham URLs maliciosos e malware que, quando clicados, poderiam permitir aos hackers roubar dados sensíveis e infetar outros computadores numa rede partilhada.

No talvez mais famoso ciberataque relacionado com o governo da história recente, a empresa de tecnologias da informação SolarWinds foi alvo de hackers em março de 2020, que injectaram código malicioso nas actualizações de software de rotina da empresa, que foram depois distribuídas por todos os sistemas instalados. A violação passou despercebida durante meses e expôs a sua base de clientes, que inclui o Departamento de Segurança Interna dos Estados Unidos e o Departamento do Tesouro, entre outros. Os esforços para reparar os danos serão um processo extremamente dispendioso e moroso, podendo levar anos a compreender o impacto total.

3 caraterísticas que as administrações públicas devem procurar quando escolhem uma tecnologia

A tecnologia certa pode proporcionar inúmeras oportunidades para simplificar os fluxos de trabalho, armazenar e consultar documentação e registos extensos e libertar o tempo dos funcionários, mas a segurança tem de ser um fator decisivo quando se compram novas soluções. Eis algumas das principais caraterísticas de segurança que as agências governamentais devem procurar e dar prioridade ao escolherem novas tecnologias para a sua organização.

1. Integração segura com ferramentas existentes

Qualquer solução que introduza no seu atual conjunto de tecnologias não deve interferir com as operações diárias, mas, idealmente, deve integrar-se nelas de forma perfeita e segura. As melhores soluções são aquelas que não exigem que os funcionários saltem de aplicação em aplicação para realizar uma tarefa. Cada nova palavra-passe a seguir ou programa a monitorizar pode introduzir novos riscos de segurança, pelo que quanto menos plataformas forem necessárias para executar os fluxos de trabalho normais, melhor.

As melhores soluções listam todos os seus parceiros e integrações no seu sítio Web ou no briefing de descoberta. Considere cuidadosamente as suas ferramentas actuais, os seus objectivos e a forma como uma nova solução se integrará e não só melhorará o seu sistema atual, como também aumentará a sua segurança.

2. Autorização FedRAMP

Governado pelo Departamento de Segurança Interna dos EUA, o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) fornece aos provedores de tecnologia uma abordagem padronizada para garantir a segurança de suas ofertas de serviços em nuvem. Embora essa autorização se aplique apenas a softwares que armazenam dados na nuvem, com muitas soluções legadas no local, agora oferecendo SaaS, a autorização FedRAMP deve ser um requisito mínimo para a tecnologia que será usada por entidades governamentais.

A autorização FedRAMP garante que um fornecedor de tecnologia cumpriu as rigorosas normas de conformidade e segurança definidas pelo Gabinete de Gestão do Programa FedRAMP (PMO) para proteger adequadamente os dados federais armazenados em fornecedores de serviços na nuvem comercial. Ao restringir a sua pesquisa apenas a fornecedores de soluções autorizados pelo FedRAMP, pode procurar com confiança a solução certa que o pode ajudar a atingir com segurança os seus objectivos de gestão da informação.

3. Gestão da segurança e da governação

Com vários níveis de autorização de segurança disponíveis para os funcionários públicos, a capacidade de permitir que os principais membros do pessoal definam regras de segurança baseadas em perfis e permitam ou desactivem o acesso a determinadas informações ao nível do utilizador é uma caraterística valiosa. As funcionalidades robustas de governação e gestão da segurança permitem-lhe criar e aplicar políticas de segurança a utilizadores e grupos de utilizadores, criando uma forma simples mas poderosa de melhorar a segurança.

Isto é especialmente importante em soluções de nuvem multilocatário, em que a infraestrutura principal de um software é utilizada por vários clientes com qualquer número de contas de utilizador dentro dessa conta de cliente principal. Um exemplo de uma solução multilocatária e da sua segurança é a Netflix, em que uma única plataforma é utilizada globalmente, mas cada conta de cliente pode configurar perfis personalizados com vários níveis de permissões para cada utilizador, como, por exemplo, os pais limitarem o que os filhos podem ver quando iniciam sessão no seu perfil exclusivo. Com perfis personalizáveis, é possível controlar o acesso a material sensível a um nível granular.

Como é que a NetDocuments pode ajudar

Enquanto sistema líder de gestão de documentos (DMS) baseado na nuvem e autorizado pelo FedRAMP, as medidas de segurança e conformidade estão integradas em todos os aspectos da nossa plataforma. Estamos empenhados em fornecer às entidades governamentais uma forma mais fácil de armazenar, gerir, pesquisar e partilhar informações de forma segura na sua organização.

Veja esta folha de benefícios e contacte-nos para saber mais sobre como o NetDocuments é a solução de gestão de documentos mais segura e fiável para a administração pública. Vamos ligar-nos!