Pesquisa de site

As 8 principais estruturas australianas de segurança cibernética em 2023

Se você é uma empresa australiana e está confuso sobre quais estruturas de segurança cibernética deve cumprir, você não está sozinho. Ao contrário dos Estados Unidos, a Austrália atualmente não possui padrões mínimos obrigatórios claros de segurança cibernética para empresas.

É provável que isso mude em um futuro próximo. O governo australiano está sendo pressionado a seguir o exemplo dos Estados Unidos no levantamento da postura de segurança cibernética do país.

Quando essa reforma de segurança nacional estiver concluída, padrões regulatórios específicos do setor provavelmente serão introduzidos para fortalecer as vulnerabilidades específicas que são exclusivas de cada setor. Nesse ínterim, as empresas australianas estão criticamente expostas aos agentes de ameaças do Estado-nação e, portanto, devem se apropriar de sua resiliência a ameaças cibernéticas agora.

De acordo com o Relatório de Confiança Digital Australiana de 2020, uma interrupção de 4 semanas em infraestruturas digitais críticas causada por um ataque cibernético custaria à economia australiana AU$30 bilhões (1,5% do PIB) ou 163.000 empregos.

Para ajudar no esforço de fortalecer a resiliência a ameaças cibernéticas do país, compilamos uma lista dos principais controles e estruturas de segurança cibernética que afetam as empresas australianas em 2023.

Saiba como o UpGuard simplifica o gerenciamento de riscos do fornecedor >

1. Oito Essenciais

O Essential Eight foi desenvolvido pelo Australian Cyber Security Center (ASCS) em 2017 para ajudar as empresas australianas a mitigar ameaças de segurança cibernética e violações de dados. Essa estrutura é recomendada pela Australian Signals Directorate (ASD) para todas as organizações australianas. Para obter mais informações sobre os padrões de segurança do ASD, consulte este Manual de Segurança da Informação (ISM).

O Essential Eight (também conhecido como ASD Essential Eight) é composto por oito estratégias básicas de mitigação, ou controles de segurança, que são divididos em três objetivos principais.

Saiba como cumprir o CPS 230 >

Cada uma das estratégias listadas em cada objetivo está vinculada a uma diretriz de implementação do governo australiano.

Objetivo 1: Prevenir ataques cibernéticos

Essa estratégia inicial visa proteger os sistemas internos contra softwares maliciosos, como malware, ransomware e outras ameaças cibernéticas.

O objectivo n.° 1 inclui 4 controlos de segurança.

  • Corrigir vulnerabilidades de aplicativos
  • Controle de aplicativos
  • Proteção de aplicativos do usuário
  • Definindo as configurações de macro do MS Office

Saiba como as empresas australianas podem evitar violações de dados >

Objetivo 2: Limitar a extensão dos ataques cibernéticos

Este objetivo visa limitar a profundidade de penetração de todas as injeções maliciosas. Isso é obtido descobrindo e corrigindo todas as vulnerabilidades de segurança para que os agentes de ameaças não possam explorá-las.

O Objetivo 1 inclui 3 controles de segurança:

  • Corrigir vulnerabilidades do sistema operacional
  • Restringir o acesso de administrador
  • Implementar a autenticação multifator (MFA)

Saiba a diferença entre 2FA e MFA >

Objetivo 3: Recuperação de Dados e Disponibilidade do Sistema

Este objetivo abrange o estágio final dos incidentes de segurança cibernética. Os recursos de dados confidenciais devem ser continuamente copiados para oferecer suporte à disponibilidade do sistema por meio da recuperação imediata de dados.

Este objetivo inclui o 8º e último controle de segurança - backups diários.

Para cada estratégia de mitigação, o Diretório de Governos Australianos recomenda que a estrutura do Essential EIght seja implementada em três fases:

  • Nível de maturidade um - Parcialmente alinhado com os objetivos da estratégia de mitigação
  • Nível de maturidade dois - Principalmente alinhado com os objetivos da estratégia de mitigação
  • Nível de maturidade três - Totalmente alinhado com os objetivos da estratégia de mitigação

A linha de base mínima recomendada para proteção contra ameaças cibernéticas é o Nível de Maturidade Três.

Saiba mais sobre o Essential Eight Framework >

A quais setores os oito essenciais se aplicam?

A Diretoria de Sinais Australiana recomenda que todas as entidades e empresas do governo australiano implementem a estrutura Essential Eight para as melhores práticas de segurança cibernética.

Os oito essenciais são obrigatórios para as empresas australianas?

O governo federal australiano exigirá a estrutura Essential Eight para todas as 98 entidades não corporativas da Commonwealth. A conformidade com esta estrutura é esperada para entidades comerciais corporativas e não corporativas (NCCEs). Para avaliar a conformidade, essas entidades passarão por uma auditoria abrangente a cada 5 anos a partir de junho de 2022

Anteriormente, esperava-se que as entidades governamentais cumprissem apenas as 4 principais estratégias Essential Eight. Mas depois que uma auditoria revelou uma resiliência cibernética abismal em vários departamentos governamentais, as expectativas de conformidade se expandiram para todas as oito estratégias com a inclusão de NCCEs.

>

Desde 2018, tornou-se obrigatório para todas as empresas com faturamento anual de pelo menos US$3 milhões relatar violações de dados ao OAIC - independentemente de terem adotado ou não a estrutura Essential Eight.

Saiba a diferença entre um regulamento e uma estrutura cibernética >

O UpGuard capacita as empresas australianas a alcançar a conformidade com os controles de segurança Essential Eight. O mecanismo abrangente de monitoramento de superfície de ataque do UpGuard fornece análise de vulnerabilidade para apoiar os esforços de proteção de aplicativos e audita todo o cenário de ameaças para manter os aplicativos de patch atualizados.

Solicite uma avaliação gratuita do UpGuard >

2. Estrutura de Segurança Cibernética do Setor de Energia Australiano (AESCSF)

A Estrutura de Segurança Cibernética do Setor de Energia Australiano (AESCSF) é uma avaliação anual da resiliência da segurança cibernética em todo o setor de energia australiano.

O AESCSF foi desenvolvido em 2018 como um esforço colaborativo entre:

  • O Operador do Mercado de Energia Australiano (AEMO)
  • O governo australiano
  • O Grupo de Trabalho da Indústria de Segurança Cibernética (CSIWG)
  • Centro de Infraestruturas Críticas (CIC)
  • Centro Australiano de Segurança Cibernética (ACSC)

Em um esforço para aplicar o mais alto nível de proteção contra ameaças cibernéticas às infraestruturas de energia australianas, o AESCSF combina aspectos de estruturas de segurança reconhecidas com uma abordagem de gerenciamento de risco, como:

  • Estrutura de segurança cibernética do NIST (pelo Instituto Nacional de Padrões e Tecnologia)
  • NIST) SP 800-53
  • Modelo de Maturidade de Capacidade de Segurança Cibernética (C2M2)
  • NIST SP 800-53
  • COBIT
  • Essencial Oito
  • Esquema de Violações de Dados Notificáveis (NDB)
  • ISO/IEC 27001
  • Os Princípios de Privacidade Australianos

Para acessar os recursos do programa AESCSF 2020-21 mais recente, consulte o site do Operador do Mercado de Energia Australiano.

A quais setores se aplica a Estrutura de Segurança Cibernética do Setor de Energia Australiano (AESCSF)?

O AESCSF foi projetado para o setor de energia australiano.

A Estrutura de Segurança Cibernética do Setor de Energia Australiano (AESCSF) é obrigatória para empresas australianas?

O AESCSF não é uma estrutura de segurança obrigatória para o setor de energia australiano. No entanto, como as infraestruturas críticas estão sendo alvo de cibercriminosos, essa estrutura é recomendada por seus programas de caminho de maturidade claros.

O UpGuard oferece suporte a muitas das avaliações de risco de segurança cibernética populares e estruturas de segurança cibernética que estão sendo aproveitadas pela AESCSF.

Solicite uma avaliação gratuita do UpGuard >

3. Controles CIS

Os controles do Center for Internet Security (CIS) são um conjunto de diferentes esforços de segurança projetados para proteger os sistemas contra ataques cibernéticos comuns. Essas estratégias de mitigação foram projetadas para interromper o ciclo de vida do ataque cibernético.

A estrutura CIS foi atualizada recentemente da versão 7.1 para a versão 8. A versão 8 está mais alinhada com as últimas tendências de transformação digital que estão expandindo o cenário de ameaças. Esses incluem:

  • A prevalência de arranjos de trabalho em casa
  • Maior dependência de soluções baseadas em nuvem
  • Aumento de endpoints móveis
  • Maior adoção da virtualização
  • A transição para forças de trabalho híbridas que se desviam entre ambientes de escritório e domésticos

Outra mudança óbvia na versão 8 do CIS é a redução dos controles - eles caíram de 20 para 18.

A lista atualizada de controles CIS é descrita abaixo:

  • Controle CIS 1: Inventário e Controle de Ativos Corporativos
  • CIS Control 2: Inventário e Controle de Ativos de Software
  • CIS Control 3: Proteção de dados
  • CIS Control 4: Configuração segura de ativos e software corporativos
  • Controle CIS 5: Gerenciamento de contas
  • CIS Control 6: Gerenciamento de controle de acesso
  • CIS Control 7: Gerenciamento contínuo de vulnerabilidades
  • Controle CIS 8: Gerenciamento de log de auditoria
  • CIS Control 9: Navegador da Web e proteções de e-mail
  • CIS Control 10: Defesas contra malware
  • CIS Control 11: Recuperação de dados
  • CIS Control 12: Gerenciamento de infraestrutura de rede
  • CIS Control 13: Monitoramento e Defesa de Rede
  • CIS Control 14: Conscientização de segurança e treinamento de habilidades
  • CIS Control 15: Gerenciamento de provedores de serviços
  • CIS Control 16: Segurança de software de aplicativo
  • CIS Control 17: Gerenciamento de resposta a incidentes
  • CIS Control 18: Teste de penetração

Diferença entre controles CIS e benchmarks CIS

Os controles CIS são uma lista de estratégias recomendadas para proteger sistemas e dispositivos. Os CIS Benchmarks são estratégias de proteção para produtos de fornecedores específicos.

A gama de CIS Benchmarks inclui 100+ melhores práticas de segurança em 25+ fornecedores. Para acessar esta lista

Para mais detalhes, consulte a lista completa de CIS Benchmarks

A quais setores a estrutura CIS se aplica?

Os controles CIS não são específicos do setor, qualquer organização pode fortalecer sua postura de segurança implementando controles CIS.

Os controles CIS são especialmente benéficos para setores que armazenam grandes quantidades de informações confidenciais do usuário final, como finanças, saúde, educação e direito.

Os controles do CIS são obrigatórios para empresas australianas?

No momento em que escrevo isso, a adoção da estrutura de controles do CIS não é um requisito obrigatório para as empresas australianas.

Os controles CIS não são obrigatórios, pois são recomendados pela proteção superior de dados confidenciais que oferecem. Como essa estrutura é independente do setor, ela pode ser prontamente confirmada para a maioria dos requisitos de segurança.

O UpGuard oferece um questionário padrão de segurança de controles CIS para avaliar a conformidade com as diretrizes de melhores práticas para segurança cibernética descritas nos 18 controles CIS.

Solicite uma avaliação gratuita do UpGuard >

4. Matriz de controles de nuvem (CCM)

Esta Matriz de Controle de Nuvem (CCM) é uma estrutura de segurança cibernética para ambientes de computação em nuvem. Essa estrutura de controle foi criada pela Cloud Security Alliance (CSA) - uma organização sem fins lucrativos dedicada a promover as melhores práticas para segurança de computação em nuvem.

O CCM abrange os principais componentes da tecnologia de nuvem em 16 domínios que se ramificam em 133 objetivos de controle. Essa estrutura pode ser usada para revelar deficiências de segurança nos esforços de implementação da nuvem e fornecer diretrizes sobre controles de segurança que podem corrigi-las.

O CCM é particularmente eficaz porque mapeia seus controles para padrões e regulamentos de segurança proeminentes, como:

  • AICPA
  • Avaliações compartilhadas do BITS
  • BSI C5 alemão
  • PIPEDA Canadá
  • Fundação CIS AWS
  • COBIT
  • COPPA
  • ENISA IAF
  • Diretiva de Proteção de Dados da UE 95/46/EC
  • FedRAMP
  • FERPA
  • GAPP
  • Lei HIPAA/HITECH
  • HITRUST CSF
  • ISO/IEC 27001
  • ISO/IEC 27002
  • ISO/IEC 27017
  • ISO/IEC 27018
  • Lei Federal do México
  • NERC CIP
  • NIST SP800-53
  • NZISMO
  • ODCA UM: PA
  • PCI DSS
  • IEC 62443-3-3
  • C5.

O CCM atende a todas as partes em um relacionamento de computação em nuvem - clientes em nuvem e provedores de soluções em nuvem.

Clientes de nuvem

O CCM oferece o Consensus Assessments Initiative Questionnaire (CAIQ) para clientes que desejam examinar os esforços de segurança de seus provedores de nuvem, ou seja, quais controles de segurança são implementados para produtos PaaS, IaaS e SaaS. O CAIQ foi atualizado recentemente para a versão 4, que pode ser acessada aqui.

CSPs (Provedores de Soluções na Nuvem)

Os fornecedores que oferecem produtos em nuvem podem enviar autoavaliações ao CAIQ para demonstrar sua conformidade com os padrões CMS. Essa prova de conformidade pode ser enviada aos clientes ou usada para solicitar o Registro de Segurança, Confiança, Garantia e Risco (STAR).

Há dois benefícios em ser incluído neste registro. A primeira é que a conformidade com a matriz CCM é verificada pela CSA, o que fortalece o apelo do relacionamento com o fornecedor. A segunda é que os fornecedores incluídos no registro têm toda a sua documentação de controle de segurança disponível publicamente, o que reduz a complexidade das avaliações do fornecedor.

Para obter mais detalhes sobre o Cloud Control Matrics, consulte o site da Cloud Security Alliance.

A matriz de controle de nuvem é obrigatória para empresas australianas?

A matriz CCM não é um requisito obrigatório na Austrália. No entanto, essa estrutura foi projetada para mapear regulamentos e estruturas obrigatórias.

A Cloud Security Alliance criou uma série de mapeamentos para a Matriz de Controle de Nuvem (CCM) que podem ser acessados aqui.

A CSA está atualizando regularmente esta lista, portanto, se o mapeamento da estrutura de segurança cibernética necessário não estiver incluído nesta lista, entre em contato com a CSA para confirmar se será no futuro.

O UpGuard oferece suporte à conformidade com cada um dos objetivos de controle do CCM, oferecendo questionários de segurança associados aos padrões para os quais o CCM é mapeado. O UpGuard oferece um criador de questionários personalizado para capacitar as organizações a contextualizar sua conformidade com o CCM.

Solicite uma avaliação gratuita do UpGuard >

5. Objetivos de Controle para Tecnologia da Informação (COBIT)

O COBIT foi desenvolvido pelo IT Governance Institute (ITGI) e pela Information Systems Audit and Control Association (ISACA). Essa estrutura de gerenciamento de TI foi projetada para dar suporte ao desenvolvimento, organização e implementação de processos que melhoram a governança de TI e as melhores práticas de segurança cibernética.

A estrutura COBIT é comumente usada para alcançar a conformidade com a Lei Sarbanes-Oxley (SOX). Mas para casos de uso gerais, o COBIT permite que as organizações avaliem a eficácia de seus investimentos em TI à luz de suas metas de negócios.

O COBIT 2019 é a versão mais recente do framework, atualizada do COBIT 5. O COBIT 5 foi a estrutura mais celebrada porque impôs a responsabilidade, o que impediu as partes interessadas de

A estrutura do COBIT 2019 consiste em 6 princípios, descritos abaixo. Os 5 princípios que governaram a estrutura do COBIT 5 também estão listados para comparação.

Princípios do COBIT 2019:

  • Princípio 1: Fornecer valor às partes interessadas
  • Princípio 2: Abordagem holística
  • Princípio 3: Sistema de governança dinâmico
  • Princípio 4: Governança distinta da administração
  • Princípio 5: Adaptado às necessidades da empresa
  • Princípio 6: Sistema de governança de ponta a ponta

Princípios do COBIT 5:

  • Princípio 1: Atender às necessidades das partes interessadas
  • Princípio 2: Cobrindo a empresa de ponta a ponta
  • Princípio 3: Aplicação de uma estrutura integrada única
  • Princípio 4: Possibilitando uma abordagem holística
  • Princípio 5: Separando a governança da gestão

Saiba mais sobre o COBIT

Para contextualizar uma possível implementação do COBIT, consulte estes estudos de caso.

A quais setores o COBIT se aplica?

O COBIT oferece suporte a todas as organizações que dependem da distribuição confiável de informações relevantes. Essa ampla categorização inclui entidades governamentais e organizações do setor privado.

O COBIT Framework é obrigatório para empresas australianas?

O COBIT não é uma estrutura de segurança cibernética obrigatória na Austrália. No entanto, como as empresas australianas que emitem e registram valores mobiliários nos Estados Unidos precisam estar em conformidade com a SOX, esse grupo faria bem em implementar o COBIT, pois ele suporta a conformidade com a SOX.

O UpGuard torna mais fácil para as empresas australianas alcançarem a conformidade com a SOX, o que, por sua vez, suporta a progressão para a conformidade com o COBIT.

Alguns dos protocolos que suportam esse esforço incluem:

  • Garantir que as políticas corretas de segurança da informação estejam em vigor
  • Implementação de salvaguardas para detectar e corrigir vazamentos de dados
  • Correção de vulnerabilidades que colocam dados confidenciais em risco.

Solicite uma avaliação gratuita do UpGuard >

6. Estrutura de Política de Segurança de Proteção do Governo Australiano (PSPF)

A Estrutura de Política de Segurança de Proteção (PSPF) capacita as entidades do governo australiano a proteger seu pessoal, informações e ativos. Seu objetivo é cultivar uma cultura de segurança positiva em todas as entidades. Essa proteção é válida em solo australiano e no exterior.

O PSPF visa implementar as seguintes políticas. Cada política está vinculada às diretrizes de requisitos básicos.

  • Governança de segurança
  • Segurança da informação
  • Segurança do pessoal
  • Segurança física

Há 5 princípios PSPF que representam os resultados de segurança desejados:

  1. A segurança é responsabilidade de todos - Uma cultura de segurança positiva apoia a obtenção de resultados de segurança.
  2. A segurança permite os negócios do governo - Os serviços podem ser fornecidos com mais eficiência se forem seguros.
  3. As medidas de segurança protegem ativos e pessoas contra os riscos cibernéticos associados.
  4. Cada departamento assume a propriedade de seus riscos inerentes e residuais.
  5. As respostas a incidentes de segurança devem ser continuamente revisadas e aprimoradas.

A quais setores o PSPF se aplica?

A Estrutura de Política de Segurança de Proteção (PSPF) se aplica a todas as entidades governamentais australianas e entidades não corporativas da Commonwealth.

A Estrutura de Política de Segurança de Proteção (PSPF) é obrigatória para empresas australianas?

O PSPF deve ser aplicado a entidades governamentais australianas e entidades governamentais não corporativas de acordo com seus perfis de risco.

O PSPF tornou-se um requisito crítico para órgãos governamentais em 2018, quando o Procurador-Geral estabeleceu a estrutura como uma Política do Governo Australiano.

O PSPF também é considerado uma das melhores práticas de segurança cibernética para todas as agências estaduais e territoriais australianas.

Como estar em conformidade com a PSPF (Estrutura de Política de Segurança de Proteção)

O UpGuard oferece suporte à conformidade com a Estrutura de Política de Segurança de Proteção (PSPF), oferecendo uma única dor de visibilidade em toda a superfície de ataque para ajudar todos os departamentos a se apropriarem de sua postura de segurança

Solicite uma avaliação gratuita do UpGuard >

7. Lei Australiana de Segurança de Infraestrutura Crítica de 2018

A Lei Australiana de Segurança de Infraestrutura Crítica de 2018 (Lei SOCI) busca proteger as infraestruturas australianas contra ataques cibernéticos estrangeiros. A gama de poderes, funções e obrigações nesta Lei se aplica a ativos específicos de infraestrutura crítica nos setores de eletricidade, gás, água e portos.

Existem três diretrizes principais da Lei Australiana de Segurança de Infraestrutura Crítica:

  1. Os proprietários e operadores de infraestruturas críticas devem registar todos os ativos relevantes.
  2. Os proprietários e operadores de infraestruturas críticas devem fornecer ao Departamento de Assuntos Internos todas as informações necessárias que possam apoiar os esforços de segurança do centro.
  3. Os proprietários e operadores de infraestruturas críticas devem cumprir todas as instruções do Ministro de Assuntos Internos que apóiam a mitigação dos riscos de segurança nacional onde todos os outros esforços de mitigação de riscos o fizeram. foi exausto.

Em 10 de dezembro de 2020, o governo australiano apresentou o Projeto de Emenda à Legislação de Segurança para ampliar a definição de infraestruturas críticas na Lei SOCI.

Esta emenda amplia a aplicação da Lei SOCI para 11 classes de infraestruturas críticas, incluindo:

  • Comunicações
  • Armazenamento e processamento de dados
  • Defesa
  • Serviços e mercados financeiros
  • Alimentos e mercearia
  • Cuidados de saúde e médicos
  • Transporte
  • Ensino superior e investigação
  • Energia
  • Tecnologia espacial
  • Água e esgoto

Mais informações sobre a Lei podem ser acessadas através dos recursos abaixo:

  • Visão geral da Lei de Segurança de Infraestrutura Crítica de 2018
  • Cobertura de infraestruturas críticas
  • Obrigações da entidade relatora

Nota:

A estrutura da Lei SOCI passou por reformas para fortalecer a segurança cibernética das infraestruturas críticas da Austrália. A estrutura atualizada é descrita na Lei SLACIP.

A quais setores a Lei Australiana de Segurança de Infraestrutura Crítica se aplica?

A Lei Australiana de Segurança de Infraestrutura Crítica de 2018 se aplica aos setores de eletricidade, gás, água e portos que possuem uma gama específica de ativos críticos.

A Lei de Segurança de Infraestrutura Crítica de 2018 é obrigatória para empresas australianas?

No momento em que escrevo isso, não há anúncios impondo a conformidade com o SOCI 2018.

O UpGuard oferece suporte à conformidade com o SOCI 2018 e seus controles de segurança reformados, ajudando infraestruturas críticas a descobrir e corrigir vazamentos de dados e vulnerabilidades que expõem ativos críticos e fornecedores terceirizados na cadeia de suprimentos.

Solicite uma avaliação gratuita do UpGuard >

8. ISO/IEC 38500

A ISO/IEC 38500 é um padrão internacional para uma estrutura de governança de TI. Garante a segurança de todos os processos e decisões de gestão que impactam o uso atual e futuro da Tecnologia da Informação.

A ISO/IEC 38500 capacita várias partes a se apropriarem da postura de segurança de uma empresa, incluindo:

  • Gerentes executivos
  • Usuários com acesso a todos os recursos da organização.
  • Fornecedores terceirizados
  • Especialistas técnicos
  • Consultores
  • Contas

Essa estrutura é apoiada por seis princípios:

  1. Estabeleça responsabilidades claras
  2. Apoiar os objetivos da organização
  3. Faça aquisições estratégicas
  4. Garantir que os KPIs sejam excedidos
  5. Garanta a conformidade com as regras
  6. Considere todos os fatores humanos

Para obter mais informações, consulte o documento oficial da norma ISO/IEC 38500 2015.

A ISO/IEC 38500 é obrigatória para empresas australianas?

A ISO 38500 é um padrão internacional para segurança de TI, portanto, espera-se que as empresas australianas estejam em conformidade com essa estrutura.

Todos os tipos de empresas devem se esforçar para estar em conformidade com a ISO 38500, incluindo:

  • Empresas públicas e privadas
  • Entidades governamentais
  • Sem fins lucrativos
  • Empresas de todos os tamanhos, independentemente do uso de TI.

O UpGuard ajuda as organizações a alinhar sua segurança de TI com seu objetivo de negócios, aumentando perfeitamente o monitoramento da superfície de ataque com processos de TI e apoiando o dimensionamento eficiente de programas de segurança cibernética.

Assista ao vídeo abaixo para saber como o UpGuard simplifica os relatórios de conformidade para a ISO 27001 e o NIST CSF.