A Malásia juntou-se a pelo menos duas outras nações – Singapura e Gana – na aprovação de leis que exigem que os profissionais de segurança cibernética ou as suas empresas sejam certificados e licenciados para fornecer alguns serviços de segurança cibernética no seu país.

Em 3 de abril, a câmara alta do Parlamento da Malásia, conhecida como Dewan Negara, aprovou a Lei de Segurança Cibernética 2024, após a sua aprovação na câmara baixa no mês anterior. O projeto de lei, que se tornará lei após a sua assinatura pelo Rei e a sua publicação no Diário do Governo, está estruturado como legislação abrangente e funcionará como um quadro para futuras atividades governamentais, protegendo infraestruturas críticas e melhorando o estado nacional de cibersegurança.

Embora a legislação exija o licenciamento, os requisitos reais para profissionais de segurança cibernética e prestadores de serviços virão mais tarde, afirma o escritório de advocacia Christopher & Lee Ong, com sede na Malásia. afirmou em um comunicado.

“Embora o projeto de lei não especifique os tipos de serviços de segurança cibernética que estão sujeitos ao regime de licenciamento… isso provavelmente se aplicará a provedores de serviços que prestam serviços para proteger dispositivos de tecnologia de informação e comunicação de outra pessoa – [por exemplo,] provedores de testes de penetração e centros de operações de segurança”, afirmou o escritório de advocacia.

A Malásia junta-se ao vizinho da Ásia-Pacífico, Singapura, que exigiu a licenciamento de provedores de serviços de segurança cibernética (CSPs) nos últimos dois anos, e a nação da África Ocidental do Gana, que exige a licenciamento de CSPs e credenciamento de profissionais de segurança cibernética. Mais amplamente, os governos como a União Europeia normalizaram as certificações de segurança cibernética, enquanto outras agências - como o estado americano de Nova York — exigir certificação e licenças para capacidades de segurança cibernética em setores específicos.

Licença para hackear em Gana

Embora muitos governos exijam que as empresas obtenham licenças para oferecer serviços de cibersegurança, o Gana é o único país que exige que os indivíduos tenham uma licença, afirma Alexey Lukatsky, diretor-geral de consultoria empresarial em cibersegurança da Positive Technologies, um fornecedor de cibersegurança com sede em Moscovo.

“A singularidade da abordagem do Gana reside no facto de os requisitos de licenciamento não se aplicarem a todos os especialistas em segurança cibernética, mas àqueles que planeiam trabalhar em quatro áreas específicas – avaliação de vulnerabilidades e testes de penetração, análise forense digital, serviços geridos de segurança cibernética, formação em segurança cibernética e segurança cibernética. GRC”, diz ele.

O governo de Singapura adotou uma abordagem proativa para levar a indústria privada a adotar regulamentações rigorosas de segurança cibernética, com as organizações até agora implementando mais de 70% dos requisitos necessários para uma certificação “Cyber ​​Essentials”.

“Certamente pensamos que ter um padrão mínimo gerará mais confiança em todo o ecossistema, pois haverá garantia de que - entre outros - testes de penetração, auditorias de segurança e serviços de resposta a incidentes a serem fornecidos estão de acordo com as expectativas da indústria e tecnologias em evolução ”, diz Serene Kan, sócia da prática de IP e tecnologia da Wong & Partners, empresa membro da Baker McKenzie International.

Nos Estados Unidos, tais esforços não ganharam muito terreno. Em vez disso, muitas organizações profissionais oferecer certificação de conjuntos específicos de habilidades. O ISC2, por exemplo, administra o conhecido credenciamento Certified Information Systems Security Professional (CISSP), enquanto a CompTIA oferece a certificação Security+, e a ISACA – antiga Associação de Auditoria e Controle de Sistemas de Informação – oferece a certificação Certified Information System Auditor (CISA), entre outros.

ISC2 e ISACA recusaram-se a comentar este artigo.

Falta de proteções para a liberdade de expressão

Embora os requisitos pareçam melhorar a maturidade global da postura de segurança cibernética dos países, a legislação tem frequentemente levantado preocupações sobre o custo potencial para a liberdade de expressão e outros direitos individuais.

Os governos que ganham amplo poder para regular as atividades relacionadas com a segurança cibernética por padrão têm poderes para controlar os serviços digitais. Isto resulta muitas vezes no alvo de actividades jornalísticas e denunciantes, exigindo “pré-aprovação ao abrigo de normas arbitrárias sujeitas a alterações ou revogação”, de acordo com a Article 19, uma organização de direitos humanos.

O projeto de lei de cibersegurança da Malásia, por exemplo, é “desnecessário e falho no seu estado atual”, afirmou a organização.

“Embora se apresente como um instrumento de ‘segurança cibernética’, o projeto de lei dará ao governo o controle irresponsável das atividades relacionadas à informática, bem como poderes quase ilimitados de busca e apreensão”, disse a organização. disse em uma análise do projeto de lei. “As suas disposições penais não exigem qualquer intenção real de violação, introduzindo efectivamente muitas infracções de responsabilidade estrita.”

Em particular, os investigadores de segurança cibernética poderiam correr perigo, uma vez que a divulgação do código-fonte ou a investigação de ofensivas cibernéticas exigiria uma licença, afirmou a organização.

No entanto, muitas vezes os requisitos de licenciamento são apenas um carimbo do governo nas melhores práticas de certificação já existentes e nos requisitos para que os candidatos a empregos tenham certificações específicas de segurança cibernética, mas com um toque local, diz Lukatsky, da Positive Technologies.

A abordagem que o Gana tem seguido, por exemplo, “assemelha-se ao estabelecimento de um registo de todos os especialistas em segurança cibernética, uma vez que é improvável que neste ou em qualquer outro país existam muitos especialistas independentes e isolados que possam trabalhar com organizações sérias, onde os riscos de contratação pessoal não qualificado é muito alto”, diz ele. “A principal razão para tais exigências é que, à medida que o número de ataques cibernéticos cresce, são necessários especialistas que entendam o que estão fazendo e por que o fazem, para detectá-los e preveni-los – como aplicar as melhores práticas internacionais e como adaptá-las às necessidades locais. específicos.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros