Introducing G2.ai, the future of software buying.Try now

O que é a Conformidade FISMA e quem ela impacta?

10 de Janeiro de 2022
Lauren Pope
LP
por Lauren Pope

Neste post

Neste post

O Grande Irmão está sempre de olho... para garantir que você esteja em conformidade.

Já falamos em detalhes sobre conformidade e as várias maneiras pelas quais as empresas são obrigadas a permanecer em conformidade. Também discutimos como a conformidade afeta cada indústria de maneira diferente. Neste artigo, continuaremos essa tendência, focando na conformidade com a FISMA e o impacto que ela tem em nosso governo.

Procurando um tópico específico sobre conformidade regulatória? Use os links abaixo para ir direto ao ponto:

O que é conformidade com a FISMA?

Para entender todo o escopo da conformidade com a FISMA, você precisa primeiro aprender a história e o significado por trás da FISMA. A primeira versão da FISMA era conhecida como a Lei de Gestão de Segurança da Informação Federal de 2002 e faz parte do Ato de Governo Eletrônico.

Em 2014, a FISMA foi reescrita e sancionada pelo Presidente Obama. Com a reescrita, veio uma mudança de nome e disposições adicionais incluídas para construir um programa de proteção de dados mais robusto.

Hoje, a versão mais recente da FISMA é chamada de Lei de Modernização da Segurança da Informação Federal de 2014. As pessoas costumam usar o termo FISMA como abreviação para a versão mais recente da legislação, mas também é frequentemente referida como Reforma da FISMA.

Definição de conformidade com a FISMA

A conformidade com a FISMA é o ato de seguir as diretrizes da FISMA para garantir uma estrutura abrangente para proteger informações, operações e ativos do governo contra ameaças.

A conformidade com a FISMA se aplica a todas as agências governamentais sem exceções. Ela exige que todas as agências federais garantam a segurança e a proteção de todas as informações da agência. Também se aplica a contratados do governo e a qualquer fornecedor terceirizado que seja usado para apoiar as operações da agência.

Quem supervisiona a conformidade com a FISMA?

A FISMA toma muitas de suas diretrizes regulatórias dos Padrões Federais de Processamento de Informação (FIPS). O FIPS foi desenvolvido pelo governo dos EUA e ajuda a guiar o objetivo geral de garantir a confidencialidade, transparência e disponibilidade das informações federais.

Existem dois órgãos reguladores que trabalham com a FISMA:

O Instituto Nacional de Padrões e Tecnologia (NIST), que tem a autoridade para criar programas que reforcem a segurança de TI e práticas de gestão de riscos.

O Departamento de Segurança Interna, que é responsável por administrar a implementação dos programas criados pelo NIST para garantir a segurança dos sistemas de informação federais.

A revisão de 2014 da FISMA também exige que qualquer agência que experimente uma violação da FISMA relate o incidente ao Congresso dentro de sete dias após a descoberta.

Por que a conformidade com a FISMA é importante?

O governo controla muitas informações, e deixar essas informações caírem em mãos erradas pode levar a consequências desastrosas. Como o risco de catástrofe é tão alto para uma potencial violação de dados do governo, o padrão para proteger esses dados precisa ser igualmente alto.

Os controles implementados para proteger as informações do governo devem corresponder ao risco e à escala potencial de danos que poderiam ocorrer se esses dados fossem acessados, distribuídos ou manipulados por uma fonte maliciosa.

As consequências potenciais por não seguir a conformidade com a FISMA podem ser enormes. Qualquer agência federal que não esteja em conformidade com a FISMA corre o risco de perder financiamento federal. Se você é um contratado do governo, pode perder todo o seu negócio ou perder futuras licitações para projetos financiados pelo governo.

O que é necessário para a conformidade com a FISMA?

Em vez de cobrir cada um dos requisitos e protocolos específicos exigidos pela FISMA, destacamos alguns dos principais temas para você e seu diretor de conformidade revisarem.

FISMA requirements
 

Esses devem atuar como um guia de alto nível e servir como ponto de partida para sua própria pesquisa. Você pode encontrar mais informações sobre cada um dos requisitos listados acima lendo mais.

1. Certificação e acreditação

A FISMA exige que qualquer oficial de programa, oficial de conformidade e chefe de agência supervisione revisões anuais de segurança. Essas revisões são usadas para revisar estratégias de gestão de riscos e manter os riscos de conformidade potenciais no mínimo. Algumas agências optam por adquirir uma certificação e acreditação FISMA (C&A) para ajudar nesse processo.

2. Inventário do sistema de informação

Todas as agências federais e contratados do governo devem manter um inventário de cada sistema de TI usado dentro de sua organização. Eles também são obrigados a rastrear e identificar as diferentes integrações entre esses sistemas e quaisquer outros sistemas dentro da mesma rede.

3. Avaliação e categorização de riscos

Uma avaliação de risco é uma revisão interna do programa de conformidade de uma agência na qual os riscos potenciais serão identificados. Um plano é então estabelecido para revisar, resolver e monitorar riscos. O NIST recomenda que todas as avaliações de risco cubram uma revisão no nível organizacional, no nível do processo de negócios e no nível do sistema de TI.

Uma vez que um risco é avaliado, as agências federais devem categorizar cada risco em ordem de importância. O nível mais alto de risco de segurança é então dado como prioridade. O FIPS descreve a gama de níveis de risco dentro de uma organização para atuar como um guia para a categorização de riscos.

Relacionado: Saiba mais sobre os cinco tipos de auditorias de conformidade e por que você pode precisar delas!

4. Controles de segurança

NIST SP 800-53 descreve uma lista exaustiva de controles de segurança sugeridos que podem ser usados para conformidade com a FISMA. A FISMA não exige que as agências implementem todos os controles. Em vez disso, elas são incentivadas a revisar os materiais e aplicar apenas os controles que são relevantes para sua agência.

Por exemplo, a EPA, que regula proteções ambientais, não usaria os mesmos controles que a FCC, que monitora transmissões, televisão e rádio.

Você precisa ter controles de segurança escolhidos e implementados antes de passar para o próximo passo, que é criar um plano de segurança do sistema.

5. Plano de segurança do sistema

A FISMA exige que todas as agências federais tenham um plano de segurança em vigor caso haja uma violação de conformidade. Espera-se que este plano seja mantido regularmente e atualizado anualmente para fornecer as melhores soluções de segurança. Os planos de segurança devem incluir políticas de segurança, melhores práticas e um cronograma para lidar com potenciais riscos de segurança.

Como criar um programa de conformidade com a FISMA

Já dissemos isso antes em artigos sobre este tópico, mas vamos dizer novamente: a tecnologia está mudando a maneira como trabalhamos. Mesmo as agências governamentais, que há muito tempo têm o estereótipo de estarem atrasadas quando se trata de tecnologia, estão se atualizando rapidamente.

É por isso que é importante considerar soluções de software de conformidade ao criar um programa de conformidade com a FISMA. Você vai querer uma ferramenta que possa fornecer múltiplas capacidades e incluir os diferentes stakeholders necessários para a conformidade.

Produtos como o G2 Track ganharam popularidade nos últimos anos porque são soluções simples para gestão de conformidade. E com a FISMA colocando tanta importância na gestão de informações e acordos com fornecedores, o G2 Track oferece a solução perfeita para suas necessidades de conformidade com a FISMA.

Você pode visitar o site do G2 Track para saber mais sobre cada uma de nossas ofertas de soluções, opções de integração de software e para inscrever-se no plano gratuito para sempre. Mesmo que o G2 Track não seja o produto certo para sua empresa, você pode usá-lo como uma forma de explorar as capacidades oferecidas por soluções de software de conformidade sem nenhum custo inicial.

Use a burocracia como seu modelo

A conformidade com a FISMA pode se aplicar apenas a afiliados do governo, mas considerando que a maior parte da conformidade é gerida por agências governamentais, há lições valiosas que você pode aprender com a conformidade com a FISMA.

Interessado em aprender mais? Confira nossos artigos sobre GRC e governança corporativa.

Lauren Pope
LP

Lauren Pope

Lauren Pope is a former content marketer at G2. You can find her work featured on CNBC, Yahoo! Finance, the G2 Learning Hub, and other sites. In her free time, Lauren enjoys watching true crime shows and singing karaoke. (she/her/hers)

Explore mais artigos da G2

Melhor software para relatórios de ausência em conformidade
Melhores ferramentas de IA para produzir textos publicitários em grande escala
Melhor aplicativo para configurar uma loja online
Qual ferramenta de IA jurídica é melhor para análise de jurisprudência?