.
A Austrália construirá “seis escudos cibernéticos em torno de nossa nação”, declarou ontem a ministra de Assuntos Internos, Clare O’Neill, como parte de uma estratégia nacional de segurança cibernética.
Detalhado em um discurso antes de uma cimeira sobre segurança cibernética, os seis “escudos” da estratégia incluem:
- Educação para que as empresas e os cidadãos sejam informados sobre as ameaças que enfrentam online, como defender os seus interesses e o apoio disponível após incidentes;
- Tecnologia segura, conforme definida por “padrões globais claros para segurança digital em produtos que nos ajudarão a impulsionar o desenvolvimento da segurança nesses produtos desde o seu início”. O objetivo do ministro é que “tal como não se pode entrar num parque de automóveis e comprar um carro que não será seguro para utilização, quando compra um produto digital à venda no nosso país sabemos que é seguro para si utilizar” ;
- Compartilhamento e bloqueio de ameaças, para que “inteligência sobre ameaças possa ser trocada entre o governo e as empresas na velocidade da máquina em tempo real e então as ameaças bloqueadas antes que causem qualquer dano à população australiana”;
- Proteção de infraestruturas críticas, em grande parte através da melhoria das defesas digitais governamentais;
- Capacidade soberana de segurança da informação, na forma de um “ecossistema cibernético próspero, onde temos as habilidades que precisamos, onde a segurança cibernética é uma profissão realmente desejável para os jovens de todo o país e onde estamos garantindo que temos o sistema que é adaptável em si mesmo “;
- Ação global coordenada “e promoção de uma região mais resiliente”, aumentando o envolvimento e as parcerias para melhorar a segurança. Ajudar os vizinhos da Austrália a melhorar a sua segurança faz parte desta agenda.
Todos os itens acima estão programados para entrar em vigor até 2030, quando O’Neill espera que a Austrália lidere o mundo em todas as coisas cibernéticas.
O’Neill não foi o único líder australiano a discursar na segunda-feira. Joe Longo, presidente do regulador corporativo da Comissão Australiana de Valores Mobiliários e Investimentos (ASIC), avisou os conselhos do país levem a sério a segurança da informação.
“A segurança cibernética e a resiliência não são apenas questões técnicas à margem das funções dos administradores”, argumentou. “A ASIC espera que os diretores garantam que a estrutura de gestão de risco da sua organização aborde adequadamente o risco de segurança cibernética e que os controles sejam implementados para proteger os principais ativos e aumentar a resiliência cibernética”.
Então veio o aviso: “Não fazer isso pode significar não cumprir suas obrigações regulatórias”.
Essa é uma frase séria. O não cumprimento das funções de diretores na Austrália pode deixar os membros do conselho responsável por perdas, ou sujeito a penalidades civis ou mesmo criminais.
Longo aconselhou os diretores a “nunca cometerem o erro de subscrever – consciente ou inconscientemente – a ‘teoria da vacinação da segurança cibernética’”.
“Esta é a crença de que você fez tudo o que precisava e não precisa mais se preocupar. Isso simplesmente não é verdade. Não basta assinar um contrato com um fornecedor terceirizado – você precisa adote uma abordagem ativa para gerenciar a cadeia de suprimentos e o risco do fornecedor. Definir e esquecer não funciona, não pode e não funcionará”, opinou ele.
Ele também pediu que os conselhos e diretores desenvolvam planos de crise para se comunicarem com os clientes, reguladores e o mercado quando as coisas dão errado – além de um “plano de resposta e recuperação claro e abrangente”.
“Vale ressaltar que qualquer plano de resposta a incidentes, para ser verdadeiramente abrangente, deve incluir fornecedores e vendedores terceirizados”, acrescentou, e pediu a mesma abordagem inclusiva para testes de resposta a incidentes, para que todos os participantes sejam treinados com antecedência. . O presidente também observou que “ninguém protege o que não tem” e citou dados de uma pesquisa da ASIC que descobriu que quase metade dos entrevistados “indicaram que não identificam informações críticas e sistemas críticos para os negócios”.
“Assim como qualquer país que se prepara contra uma potencial invasão deve identificar os principais recursos estratégicos a serem protegidos, também uma organização deve identificar as informações mais críticas que possui para poder priorizar a sua proteção.”
Fazer isso é “ainda mais essencial se um terceiro estiver gerenciando sistemas críticos ou mantendo informações”, concluiu. ®
.
