Governo eletrônico e segurança cibernética empatam como prioridade número 1 da NASCIO
Como criar resiliência em segurança e serviços digitais
Todos os anos, a National Association of State Chief Information Officer (NASCIO) publica sua lista das dez principais prioridades estratégicas. Não foi nenhuma surpresa que a segurança cibernética e o gerenciamento de riscos assumiram o primeiro lugar mais uma vez em 2024. Eles têm sido o primeiro lugar por mais de uma década, já que ataques cibernéticos implacáveis continuam a afetar agências estaduais e locais.
No entanto, no que a NASCIO chamou de "primeira vez histórica ", os serviços digitais de governo empataram com a segurança cibernética em primeiro lugar neste ano. Serviços governamentais digitais, ou serviços de "governo eletrônico", são serviços disponibilizados ao público e à comunidade empresarial por meio do uso da tecnologia de informação e comunicação.
O diretor executivo da NASCIO, Doug Robbins, comentou sobre o empate da seguinte forma: "A segurança cibernética e o governo digital são duas questões críticas para os CIOs estaduais e assim serão por algum tempo."
Poucos contestarão isso, mas lembre-se: é uma lista de prioridades. Não deveria haver apenas um nº 1?
O estado atual dos serviços governamentais digitais
Com praticamente tudo disponível on-line, as pessoas também querem serviços digitais de alto nível do governo. Não importa o fato de que agências diferentes lidam com coisas diferentes. Elas não deveriam ter que examinar longas listas de agências, encontrar o site certo e criar outra conta para interagir com o governo. Ninguém deve sofrer uma "imposto de tempo " associado a pesquisas complexas, processos confusos, aplicativos demorados e longos tempos de resposta. Mas esta é a realidade atual dos serviços governamentais na maior parte do país.
Os governos estaduais e locais estão muito cientes. O público em geral pode não perceber, mas os líderes governamentais se preocupam profundamente com a prestação de serviços e estão tomando medidas.
Por exemplo, os estados estão investindo em portais web voltados para o público que permitem um acesso contínuo entre agências a todos os serviços que oferecem. Ao modernizar os aplicativos, eles aplicam os princípios mais recentes de design centrado no ser humano para colocar as pessoas em primeiro lugar. Eles combinam login único com autenticação multifator sem senha para que os usuários tenham apenas uma única credencial (sem senha) para gerenciar. E estão inovando com assistentes digitais alimentados por IA para dar vida ao futuro dos serviços governamentais.
Sem dúvida, ótimas experiências digitais ajudam a criar confiança no governo. O foco intenso explica por que os serviços digitais subiram na classificação da lista dos 10 melhores da NASCIO para o primeiro lugar. No entanto, práticas inadequadas de segurança e privacidade podem prejudicar tudo, então elas também estão no primeiro lugar.
Agora voltemos à nossa pergunta: isso foi mesmo uma surpresa? Claro que não. Do ponto de vista do público, ótimos serviços digitais e segurança forte não são prioridades separadas. Eles são a mesma coisa.
Como criar resiliência em sua organização
Talvez a maior surpresa na lista da NASCIO tenha sido a seguinte: prioridades como "disponibilidade", "confiabilidade" e "resiliência " não foram encontradas em nenhum lugar. Poucas coisas corroem mais a confiança do que serviços que simplesmente não funcionam.
É claro que a disponibilidade é um princípio fundamental de segurança, junto com a confidencialidade e a integridade, então pode-se dizer que está implícito. Entretanto, nos últimos anos, o termo "resiliência " apareceu de forma mais explícita como a base de sistemas confiáveis. Resiliência pode soar como uma palavra mais sofisticada para disponibilidade, mas há mais do que isso. A resiliência esclarece uma questão crucial: a construção de confiança. A NASCIO deve considerar declarar isso explicitamente, assim como faz com governança, experiência do usuário, acessibilidade e risco de terceiros.
Para ajudar as organizações a aumentar a resiliência, o Instituto Nacional de Padrões e Tecnologia (NIST) emitiu duas publicações especiais 800-160 sobre sistemas confiáveis (volume 1) e sistemas resilientes cibernéticos (volume 2). Uma citação importante se destaca: "A confiabilidade é a capacidade demonstrada e, portanto, a capacidade de uma entidade ser confiável para satisfazer expectativas, incluindo satisfazer expectativas diante da adversidade". Em outras palavras, você conquista confiança quando entrega de forma consistente, mesmo em tempos difíceis.
E os tempos podem ficar difíceis rapidamente quando os sistemas ficam mais lentos ou param de responder. A causa pode ser um problema cibernético como um ransomware ou um ataque de negação de serviço, mas também pode ser um problema operacional como um pico de tráfego inesperado ou um erro humano que se transforma em uma crise total. Poucos se esquecerão de como a pandemia paralisou empresas em todo o país e milhões de pessoas inundaram os sistemas de pedido de seguro-desemprego dos estados, travando sites e causando longos atrasos nos benefícios vitais. Esse tipo de fracasso diante da adversidade ajudou a minar a confiança no governo em um momento crítico.
A boa notícia é que há um manual simples para desenvolver confiança e resiliência nos seus serviços digitais, sem se aprofundar em 500 páginas de publicações do NIST. Ou esperar a lista dos 10 mais do próximo ano.
As cinco principais prioridades dos governos estaduais e locais
OK, recomendamos que você se aprofunde nas séries 800-160 do NIST, mas aqui estão as cinco principais prioridades para criar resiliência imediatamente em seus programas de segurança cibernética e serviços digitais:
Mitigação de DDoS
Os invasores usam ataques de negação de serviço distribuída (DDoS) para interromper os serviços ou, às vezes, simplesmente para desviar a atenção de outro ataque. Os ataques DDoS sobrecarregam os sistemas com tráfego originário de várias fontes, dificultando sua interrupção, mesmo para provedores de internet upstream. Mas não precisa ser assim. Hoje, você pode conectar seus serviços digitais a uma nuvem de conectividade moderna e global que tem a visibilidade e a experiência necessárias para identificar e interromper ataques DDoS.DNS seguro
Como outros serviços essenciais da internet , o DNS (sistema de nomes de domínio) não foi desenvolvido tendo a segurança em mente. Os invasores podem, portanto, explorar seus pontos fracos e degradar a qualidade do serviço, redirecionar os usuários para sites maliciosos ou interceptar e-mails. Os aprimoramentos do DNS como o protocolo de extensões de segurança do sistema de nomes de domínio (DNSSEC) evoluíram para autenticar as solicitações de DNS, mas ainda não defendem contra ataques DDoS. Portanto, uma prioridade máxima deve ser a adoção de uma solução de DNS segura que combine serviços de DNS de alto desempenho com proteção DNSSEC e proteção contra DDoS para garantir que seus serviços estejam sempre disponíveis e protegidos contra ataques baseados em DNS.Proteção de aplicativos web
As plataformas web são constantemente atacadas com vetores e táticas de ameaça que surgem continuamente. Quer as ameaças sejam bem conhecidas e definidas pelo Open Worldwide Application Security Project (OWASP) ou novos vetores de ameaças zero-day, um firewall de aplicativos web (WAF) moderno precisa ser capaz de lidar com ambos em escala. Verificações de credenciais expostas, controles centrados em API e detecção de dados confidenciais nas respostas também são apostas críticas para uma abordagem holística de proteção de aplicativos web. Esses controles devem ser constantemente atualizados de acordo com o cenário em constante mudança. Portanto, considere um provedor de WAF que aproveita o aprendizado de máquina treinado por uma extensa rede de sensores global para identificar e responder a essas ameaças emergentes.Serviços de aceleração de aplicativos
A experiência do usuário em serviços digitais não se concentra apenas na arquitetura do aplicativo e nos princípios de design centrado no ser humano, mas também na disponibilidade e aceleração do conteúdo para o usuário final. Os recursos avançados de armazenamento em cache e gerenciamento de conteúdo, intrinsecamente envolvidos nos controles de segurança mencionados acima, são componentes essenciais para impulsionar o desempenho, a resiliência e, por fim, a confiança nesses sistemas. Para atingir efetivamente esses objetivos, os provedores devem ter uma presença distribuída onde a aceleração e a segurança estejam fortemente combinadas.Serviços de aceleração de rede
Os provedores que operam o backbone da rede interconectando seus nós de serviço ou pontos de aplicação de políticas (PEP) trazem outro aspecto para a resiliência. Por exemplo, quando surgem gargalos, o tráfego pode contornar áreas congestionadas para nós alternativos. Essa capacidade de ver o caminho de ponta a ponta e exercer controle de como as solicitações e as respostas são roteadas em resposta a condições em tempo real impulsiona de forma significativa a resiliência e o desempenho. Considere um provedor de segurança em nuvem que não apenas opera com uma distribuição global de PEPs para serviços de segurança e aceleração, mas também a infraestrutura de rede que interconecta esses PEPs.
Tornar a resiliência de serviços um objetivo explícito
O empate da NASCIO na alta prioridade dos CIOs pode ter sido uma primeira vez histórica, mas certamente não foi uma surpresa. Para atender e conquistar a confiança do público, as agências precisam tanto de uma segurança cibernética forte quanto de experiências digitais simples. Mas a confiança também depende da resiliência que garante que os serviços críticos estejam sempre disponíveis diante da adversidade. As cinco principais prioridades que discutimos contribuem muito para fornecer serviços digitais confiáveis e seguros.
E se ainda não era óbvio, aqui vai uma recomendação importante para os CIOs estaduais ao considerarem as principais prioridades para 2025: falem especificamente sobre “resiliência” dentro da prioridade do governo digital. É fundamental fazer isso e também é mais fácil do que você pensa.
A Cloudflare oferece um conjunto de serviços projetados especificamente para organizações do governo e do setor público dos EUA. Esses serviços permitem que as organizações criem serviços rápidos, confiáveis e escaláveis, ao mesmo tempo em que aprimoram a segurança em todos os endpoints, usuários e nuvens. Os serviços são fornecidos a partir de uma rede em nuvem global altamente resiliente, com segurança e desempenho integrados. Com a Cloudflare, as organizações podem abordar ambas as prioridades da NASCIO sem aumentar a complexidade.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia. Este artigo foi originalmente produzido para a GovTech.
Saiba mais sobre esse assunto
Saiba mais sobre como atender aos requisitos de segurança Zero Trust para o governo federal no guia Um roteiro para a arquitetura Zero Trust.
Autoria
Scottie Ray — @H20nly
Principal Solutions Architect, Cloudflare
Steve Caimi — @stevecaimi
Principal Product Manager, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Como os governos estão trabalhando para aprimorar os serviços digitais
Por que a resiliência é essencial para criar confiança
Cinco prioridades para criar resiliência na segurança cibernética e nos serviços digitais