Com o aumento das ciberameaças, proteger as informações sensíveis passou a ser prioridade de muitas empresas. Isso é especialmente mais relevante para agências governamentais dos Estados Unidos, que lidam com grandes volumes de dados confidenciais, como informações pessoais dos cidadãos e dados críticos de segurança nacional.
Para enfrentar esse desafio, o país norte-americano estabeleceu uma legislação chamada FISMA. Você já ouviu falar sobre essa sigla?
Neste artigo, vamos abordar o que é a FISMA, seus requisitos de conformidade, benefícios e penalidades por violações. Continue lendo!
O que é a FISMA?
A Federal Information Security Management Act, ou Lei Federal de Gestão de Segurança da Informação, em português, foi aprovada nos Estados Unidos em 2002.
Ela é um artigo em uma legislação maior nomeada como E-Government Act, que reconhece a importância da segurança da informação para os interesses econômicos e nacionais dos Estados Unidos.
Com ela, passou a ser obrigatório que as agências federais façam o desenvolvimento, a documentação e a implementação de um programa de proteção e segurança da informação.
Ou seja, essa lei federal foi feita para diminuir o risco de segurança para informações federais, enquanto gerencia os gastos federais em segurança da informação.
Apesar de ser uma lei que não é válida no Brasil, por ser estadunidense, é importante que empresas que fazem negócios com organizações de outros países estejam cientes sobre como podem estar em conformidade, para assim terem mais possibilidades de relações comerciais.
Requisitos de conformidade com a Lei Federal de Gestão de Segurança da Informação
O NIST (National Institute of Standards and Technology) tem um papel essencial no Projeto de Implementação da FISMA publicado em 2003, que criou os principais padrões e diretrizes de segurança exigidos.
Confira os principais requisitos da FISMA:
Inventário do sistema de informação
As agências federais ou contratadas que trabalham com o governo são obrigadas a ter um inventário de todos os sistemas de informação utilizados nas operações.
Categorização de risco
As organizações devem classificar suas informações e sistemas de informação conforme o risco, garantindo que dados confidenciais e os sistemas que os processam recebam o nível mais elevado de segurança.
Plano de segurança do sistema
As agências devem desenvolver e manter um plano de segurança do sistema que seja regularmente revisado e atualizado. Este plano deve incluir as políticas e controles de segurança implementados e um cronograma para a introdução de controles adicionais.
Avaliações de risco
A agência é obrigada a fazer uma avaliação de risco de três níveis, usando o Risk Management Framework (RMF), sempre que acontecer alterações nos sistemas. Isso garantirá que as mudanças sejam seguras e compatíveis com os requisitos da FISMA.
Certificação
As agências devem realizar revisões de segurança anuais, demonstrando que têm a capacidade de implementar, manter e monitorar sistemas que atendam aos padrões de conformidade exigidos pela legislação.
Benefícios da conformidade com a FISMA
O principal benefício é o aumento da segurança de dados de uma agência, visto que essa conformidade protege os dados privados dos cidadãos.
Já para as empresas do setor privado, a implementação de soluções compatíveis com a lei é importante para sua própria segurança de dados.
As organizações têm a necessidade de estarem em conformidade com a FISMA para trabalhar com as agências federais.
Outro benefício é o ganho financeiro, gerado principalmente pela organização dos sistemas com o inventário. Além disso, a empresa pode estabelecer mais relações comerciais, visto que as organizações atualmente estão exigindo que provedores e parceiros estejam em conformidade com as normas mais importantes, como a FISMA, para fecharem um negócio ou acordo.
Penalidades por violações
Uma das maiores penalidades que uma violação de conformidade com a FISMA pode ocasionar é a perda de financiamento federal. É claro que isso pode ser prejudicial para as agências, mas é ainda pior para os contratantes federais, visto que, essa ausência de financiamento pode levar ao fim da empresa.
Outros prejuízos são:
-
Perda de reputação devido a violações de dados.
-
Perda de futuras oportunidades de licitação de projetos federais.
-
Perda de clientes, que já não vão confiar na organização.
Como o AdAudit Plus da ManageEngine pode te ajudar?
O ADAudit Plus pode ser uma ferramenta muito importante para ajudar as empresas a atenderem aos requisitos de conformidade da FISMA, visto que ela obriga que todas as atividades relacionadas ao acesso e modificação de dados sejam monitoradas e registradas.
Nossa ferramenta realiza a auditoria em tempo real sobre todos os acessos e ações feitos em servidores e sistemas críticos. Ela coleta logs detalhados sobre quem acessou o que, quando e como, o que é fundamental para a rastreabilidade e análise de eventos de segurança, conforme exigido pela FISMA.
Além disso, como vimos, a Lei Federal de Gestão de Segurança da Informação obriga uma avaliação de risco contínua para todos os sistemas de informação. O ADAudit Plus oferece uma maneira de identificar e analisar riscos relacionados ao acesso e uso de sistemas críticos, fornecendo uma visão clara sobre possíveis vulnerabilidades.
Conclusão
A FISMA é uma legislação fundamental para garantir a segurança das informações e dos sistemas usados pelo governo dos Estados Unidos. As organizações que lidam com informações sensíveis ou prestam serviços ao governo devem garantir que estão em conformidade com as exigências dessa lei.
A implementação de soluções de segurança e auditoria robustas, que ajudam a estar em conformidade com essa lei, ajudam a proteger dados e sistemas críticos. Além disso, evitam penalidades por possíveis violações.
