Compliance
A terceira e última parte do guia desenvolvido por agências norte-americanas é direcionada aos clientes de software
22/11/2022
|
A Cybersecurity and Infrastructure Security Agency (CISA), a National Security Agency (NSA), e o Office of the Director of National Intelligence (ODNI) divulgaram a última parte de um guia conjunto sobre a segurança da cadeia de valor de software. A orientação, criada pelo Enduring Security Framework (ESF), um grupo de trabalho transversal a vários setores focado na mitigação de riscos a infraestruturas críticas e na segurança nacional, fornece recomendações a developers, fornecedores e organizações sobre as melhores práticas de segurança da cadeia de valor de software. A primeira parte oferece recomendações a developers de software, a segunda parte visa fornecedores de software, e a terceira destina-se aos clientes de software. O documento detalha práticas que os clientes devem aplicar ao adquirir, implementar e utilizar software e fornece exemplos de cenários de ataque e mitigação. No que diz respeito à aquisição de software, as agências recomendam prestar atenção aos requisitos da organização, como atividades de Security and Supply Chain Risk Management (SCRM), fazer avaliações de produtos, incluindo a Software Bill of Materials (SBOM), e avaliar os fornecedores antes de estabelecer contratos. No que concerne a implementação de software, os clientes são aconselhados a examinar de forma minuciosa os produtos, realizando testes funcionais e validando os produtos de uma perspetiva de segurança, estabelecer um Configuration Control Board (CCB) encarregue do ciclo de vida do produto, garantir que o produto se integra com o ambiente existente e monitorizar as atualizações. As agências recomendam, também, que as organizações cuidem adequadamente dos produtos que atingiram o fim de vida ou que são descontinuados e que garantam a implementação de um programa de formação eficaz para novos produtos. Adicionalmente, os consumidores de software são aconselhados a tomar atenção à forma como os produtos são operados para garantir que as vulnerabilidades e mudanças de funcionalidades são identificadas, que as atualizações são aplicadas em tempo útil e que o software malicioso é eliminado antes de prejudicar a organização. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
Ciberataques exigem mais de sete meses para recuperação total
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
COMPLIANCE
Funções de legal, risco e compliance vão duplicar gastos com tecnologia
COMPLIANCE
Apple corrige mais de 70 vulnerabilidades presente nas suas plataformas
COMPLIANCE
LinkedIn recebe multa por violação de privacidade de dados
COMPLIANCE
47% das empresas portuguesas não tem conhecimento sobre a NIS2
COMPLIANCE
Líderes de gestão de risco enfrentam desafios com falta de transparência de ferramentas GRC
