NASA: Testar e monitorizar contínuamente, em vez de...

... limitar a segurança dos sistemas a processos administrativos que procuram demonstrar, aparentemente, que os sistemas estão seguros por terem sido alvo do procedimento A, B e C.

Jill R. Aitoro, na Nextgov:

Jerry Davis, CIO responsável pela segurança IT da NASA, publicou um memorando dirigido aos managers dos sistemas de informação, informando-os que não precisam certificar, a cada três anos, que as suas redes estão em conformidade com a FISMA, de acordo com a lei. Em vez disso, devem estabelecer um processo de monitorização contínuo, automatizado, que procure falhas que os hackers possam explorar.

in NASA security chief orders bold change to secure networks.

Por outras palavras, independentemente das políticas, standards e procedimentos de segurança instituídos, vão passar a testar e analisar os sistemas em modo contínuo. Inteligente. O que surpreende é terem chegado agora a esta conclusão, e terem ocupado recursos e dinheiro durante vários anos, concentrados em certificações de conformidade, quando as ameaças aos sistemas e à informação, como temos visto, são dinâmicas e evoluem ao longo do tempo. As ameaças e a descoberta de novas vulnerabilidades, claro. E quem já andou no meio da selva sabe — sabe — que os requisitos funcionais e operacionais das organização limitam, infelizmente, a introdução de todos os controlos que as pessoas da segurança gostariam de ver realizados. E nesse contexto, que é o mais comum, as componentes de teste, monitorização e reacção, essas, são as mais importantes — são o último bastião.