Pular para o conteúdo
Experimente a Segurança na Nuvem da RSA Gratuitamente

Comece agora o seu período de teste do ID Plus.

Começar
SOCI 2018 e Projeto de Lei ERP 2024

Com o aumento das ameaças avançadas à segurança cibernética e a instabilidade geopolítica global, muitas organizações governamentais introduziram legislações importantes e obrigações obrigatórias de segurança cibernética para serviços financeiros, energia, saúde e outros serviços essenciais.  

Para proteger esses setores essenciais, o governo da Austrália introduziu a Lei de Segurança de Infraestrutura Crítica (SOCI) de 2018 e recentemente alterou essa lei com a Projeto de lei 2024 de alteração da legislação sobre segurança de infraestruturas críticas e outras (resposta e prevenção aprimoradas). O projeto de lei ERP 2024 tem obrigações obrigatórias que abrangem segurança cibernética, segurança da cadeia de suprimentos e pessoal para ajudar a proteger a CI da Austrália e priorizar a segurança de identidade.  

O SOCI Act 2018 e o ERP Bill 2024 exigem recursos de gerenciamento de identidade e acesso (IAM) e de governança e administração de identidade (IGA) e controles de conformidade que previnam riscos, detectem ameaças e mantenham a conformidade. Vamos analisar quais setores atendem a essas obrigações e requisitos obrigatórios, os recursos que a CI precisa implementar e algumas medidas imediatas que as organizações devem tomar.  

Setores australianos de infraestrutura crítica

O SOCI Act 2018 e o ERP Bill 2024 se aplicam a organizações que trabalham nos seguintes setores: 

  • Serviços e mercados financeiros 
  • Armazenamento ou processamento de dados 
  • Setor de defesa 
  • Ensino superior e pesquisa 
  • Energia 
  • Alimentos e mercearia 
  • Cuidados com a saúde e médicos 
  • Tecnologia espacial 
  • Transporte, incluindo aviação e ativos marítimos 
  • Água e esgoto 

Além de Requisitos da Lei SOCI 2018, Se o governo australiano não tiver uma declaração particular de que um determinado ativo de infraestrutura crítica é um sistema de importância nacional (SoNS). As organizações de SoNS têm requisitos adicionais de segurança cibernética que estão detalhados no  Estrutura aprimorada de obrigações de segurança cibernética 

Mapeamento dos recursos de IAM e IGA para obrigações SOCI

A Lei SOCI de 2018 lista cinco obrigações principais para os operadores de infraestrutura crítica: 

  • Obrigação de notificar os provedores de serviços de dados. (Subseção 12(F) da Lei SOCI) 
  • Registro de ativos de infraestrutura crítica (Parte 2)  
  • Programa de gerenciamento de riscos (RMP) (Parte 2A) 
  • Relatório obrigatório de incidentes cibernéticos (Parte 2B) 
  • Obrigações de segurança cibernética aprimorada (ECSO) (Parte 2C) 

O IAM e o IGA são essenciais para atender aos Requisitos do Programa de Gerenciamento de Riscos, ao Relatório Obrigatório de Incidentes Cibernéticos e às Obrigações de Segurança Cibernética Aprimorada: 

Requisito de gerenciamento de identidade e risco (RMP)

De acordo com essa obrigação, todos os ativos de IC devem manter um programa de gerenciamento de riscos. Esse programa exige especificamente que os operadores de IC identifiquem e atenuem os riscos materiais decorrentes de ameaças à segurança cibernética, à cadeia de suprimentos, ao pessoal e à segurança física. Isso significa que as organizações de IC devem ter controles de acesso apropriados para identidades e sistemas. 

Para cumprir essas obrigações, os operadores de IC devem garantir que tenham os seguintes controles: 

  • Identificação, autenticação e autorização do usuário para garantir que somente indivíduos autorizados tenham acesso 
  • Controles de acesso baseados em função (RBAC) para atribuir acesso somente quando necessário, simplificar as revisões de acesso e as auditorias de função e aplicar a segregação de funções (SoD) 
  • Recursos de auditoria, incluindo o monitoramento da atividade do usuário para detectar violações ou uso indevido/abuso de sistemas 
  • Gerenciamento do ciclo de vida da identidade com automação dos processos de integração de funcionários, alterações de acesso e desligamento de funcionários 
  • Aplicação de controles de acesso privilegiado para restringir funções de alto risco ao menor número possível de pessoas 
Requisitos obrigatórios para relatórios de incidentes

Essa obrigação exige a comunicação de incidentes de segurança cibernética dentro de 12 horas se o incidente tiver um impacto significativo na disponibilidade do ativo de IC ou 72 horas para incidentes com um impacto que não seja imediatamente perturbador. 

Para atender aos requisitos de relatórios e cumprir essas obrigações, as operadoras de IC precisam:  

  • Visibilidade imediata do monitoramento em tempo real e dos controles de acesso para detectar acesso não autorizado ou tentativas suspeitas de login 
  • Recursos que permitem que os operadores correlacionem casos-raiz de incidentes a identidades  
  • Conformidade demonstrável para investigação adicional de incidentes após a comunicação ou durante as auditorias 

Requisitos aprimorados de segurança cibernética do SoNS  

Os sistemas que são designados como ativos do SoNS têm obrigações adicionais de segurança cibernética a cumprir. Essas obrigações exigem que o SoNS tenha planos de resposta a incidentes de segurança cibernética, avaliações periódicas de vulnerabilidade e a capacidade de fornecer ao governo acesso às informações do sistema, incluindo todas as informações de registro de identidade e acesso, quando solicitado.  

Os recursos de IGA ajudam as organizações a cumprir essas obrigações, fornecendo auditoria e relatórios abrangentes, que incluem registros de acesso em tempo real, visibilidade do acesso privilegiado e a capacidade de integração com as ferramentas de gerenciamento de eventos e informações de segurança (SIEM). 

Controles imediatos para atender às obrigações da SOCI 

As organizações australianas de CI e SoNS devem implementar os seguintes recursos e práticas recomendadas para atender aos requisitos do programa de gerenciamento de riscos da Lei SOCI de 2018, à comunicação obrigatória de incidentes cibernéticos e às obrigações aprimoradas de segurança cibernética: 

  • Adotar políticas de controle de acesso. Aplique o acesso com o mínimo de privilégio e os princípios de Zero Trust usando o controle de acesso baseado em função (RBAC) para mapear as permissões para as funções de trabalho. 
  • Proteja todas as identidades com autenticação multifator (MFA) ou autenticação sem senha. Exigir que todos os usuários da infraestrutura crítica tenham MFA ou adotem a autenticação por senha/chave de acesso. 
  • Use monitoramento e alertas de análise comportamental em tempo real detectar comportamentos anômalos de acesso que possam indicar comprometimento da conta e proteger contra ameaças internas com alertas em tempo real 
  • Garantir a separação de funções (SoD) para evitar conflitos de interesse em funções (por exemplo, impedir que um único usuário aprove e execute transações). 
Cumprir as obrigações da Lei SOCI de 2018 com a RSA 

Os agentes de ameaças exploram cada vez mais controles de identidade fracos, tornando o IAM e a IGA essenciais para a estratégia de segurança nacional da Austrália. A Lei SOCI representa uma evolução significativa na forma como a Austrália protege a IC contra ameaças.  

Embora a conformidade possa parecer desafiadora, uma abordagem unificada de IAM e IGA não só ajuda as organizações de CI a cumprir suas obrigações regulamentares, mas também melhora muito a segurança operacional, reduz os riscos e garante a resiliência a longo prazo. 

A RSA Security ajuda as organizações de infraestrutura crítica a proteger suas identidades e atender aos requisitos de conformidade com: 

RSA® ID Plusoferece os recursos de segurança de gerenciamento de identidade e acesso (IAM) de que as infraestruturas críticas precisam para evitar invasões de contas, ataques de ransomware e outros ataques cibernéticos. A solução oferece: 

  • Autenticação resistente a phishing e sem senha para impedir ataques baseados em credenciais 
  • Políticas de acesso adaptáveis que bloqueiam tentativas suspeitas de login em tempo real 
  • Autenticação multifator (MFA) segura que equilibra segurança e facilidade de acesso para funcionários do setor público 
  • Análise de risco orientada por IA que detecta e responde a tentativas de acesso anômalas antes que elas se tornem ameaças 

Governança e ciclo de vida RSAfornece os recursos de IGA que a infraestrutura crítica precisa para facilitar e proteger o gerenciamento do ciclo de vida da identidade para todos os usuários e
dispositivos. A solução: 

  • Automatiza a integração, o desligamento e as alterações de acesso para garantir que os usuários tenham o acesso certo no momento certo. 
  • Aplica controles de acesso baseados em funções (RBAC) para evitar o aumento de privilégios 
  • Elimina as aprovações manuais ao simplificar as solicitações de identidade com fluxos de trabalho automatizados 
  • Garante a remoção imediata do acesso quando os funcionários saem ou mudam de função, reduzindo as ameaças internas 

Por mais de 40 anos, a RSA tem ajudado as organizações de IC e as que priorizam a segurança a proteger seus ativos. À medida que as ameaças cibernéticas se tornam mais sofisticadas e os requisitos de conformidade mais rigorosos, as organizações de IC precisam tomar medidas proativas para proteger identidades, evitar ataques e manter a resiliência operacional. Entre em contato com a RSApara saber mais sobre como a RSA fornece uma variedade de soluções de IAM que atendem às normas da Lei SOC e se integram a uma estratégia mais ampla de segurança de identidade. 

Talvez você também se interesse por...

Solicite uma Demonstração

Solicite uma Demonstração