News
Da mesma forma, o Government Accountability Office pediu às agências que implementassem métricas de avaliação da eficácia das suas iniciativas e lançou oito recomendações
07/12/2022
O norte-americano Government Accountability Office (GAO) incitou várias agências federais a realizarem avaliações de segurança para melhorar a proteção dos serviços críticos. O gabinete salientou que o DHS, a CISA e o NIST emitiram orientações, alertas, avisos e outros recursos num esforço para ajudar entidades federais e privadas a gerir os riscos de cibersegurança associados aos sistemas de IoT e OT, contudo, considera que deve ser feito um esforço maior por parte de certas agências. O gabinete destaca as iniciativas do Departamento de Energia, de Saúde e Serviços Humanos, do Departamento de Segurança Interna e de Transportes para a proteção das principais infraestruturas essenciais contra ciberataques.Ainda assim, o GAO explica que nenhuma das agências tem métricas para a avaliar a eficácia destas iniciativas. Adicionalmente, o gabinete afirma que as agências não realizaram avaliações de risco de cibersegurança IoT e OT para o setor como um todo, impedindo-os de saber que outras proteções poderão ser necessárias. O GAO lançou uma lista de oito recomendações para as agências encarregues do setor da energia, saúde e transportes, focando-se nas necessidades de estabelecer e utilizar métricas. “Os responsáveis das agências observaram dificuldades em avaliar a eficácia do programa quando se baseiam em informações voluntárias de entidades do setor. No entanto, sem tentativas de medir a eficácia e de avaliar os riscos de IoT e OT, o sucesso de iniciativas destinadas a mitigar riscos é desconhecido”, refere o GAO. Além disso, o gabinete informa que “os Departamentos de Segurança Interna e Transportes concordaram com as recomendações, enquanto o de Energia disse que só responderia às recomendações depois de uma nova coordenação com outras agências. O de Saúde e Serviços Humanos não concordaram nem discordaram das recomendações, mas observaram as ações planeadas. Especificamente, o departamento disse que planeava atualizar o seu plano específico do setor, mas afirmou que não pode obrigar à adoção do plano no setor privado”. |