Para possibilitar as eleições que definem a democracia, deve-se proteger a segurança e a confiabilidade da infraestrutura eleitoral. Por meio de uma abordagem de práticas recomendadas que serão demonstradas a seguir, pretendemos ajudar as organizações envolvidas em eleições a entender melhor no que se concentrar e saber como priorizar e analisar a enorme quantidade de orientação disponível sobre a proteção de sistemas relacionados a TI e se envolver em colaboração adicional para lidar com ameaças comuns a este aspecto crítico da democracia.
Hardware, software e serviços de computação são essenciais para as operações eleitorais. Em quase todas as jurisdições eleitorais, muitos dos hardwares, softwares e serviços que sustentam nossas eleições – desde o registro de eleitores e eleições sistemas de gerenciamento para pollbooks e dispositivos de captura de votos – são adquiridos de fornecedores privados. Até mesmo sites simples voltados ao público podem ser adquiridos e sua segurança – ou a falta dela – pode ter consequências nas eleições. A industria de parceiros dos quais a tecnologia da informação (TI) é adquirida desempenham um papel crítico no gerenciamento dos riscos de segurança inerente às eleições. Compreender e gerenciar adequadamente as expectativas de segurança no processo de aquisição pode ter um impacto substancial no sucesso do processo eleitoral.
Avaliação de risco
Toda TI tem riscos. Os esforços para mitigar alguns riscos inevitavelmente deixam outros riscos sem solução. Os líderes devem determinar quais riscos são aceitáveis em face de recursos limitados. Para compreender e priorizar seus riscos, todas as organizações devem conduzir avaliações de risco regulares. As avaliações de risco podem ser classificadas em duas categorias:
- Autoavaliações: as avaliações de risco internas são geralmente mais rápidas e menos caras, embora sejam úteis uma visão geral da sua postura de segurança cibernética.
- Avaliações independentes: porque são realizadas por especialistas de avaliação externos, independentes as avaliações geralmente custam mais e demoram mais, mas são mais objetivas e completas. Onde tempo e os recursos permitirem, eles são preferíveis mesmo quando uma organização tem profunda experiência em segurança cibernética.
Risco Organizacional
Em uma avaliação de risco de linha de base da infraestrutura eleitoral descrita em Um Manual para Segurança da Infraestrutura Eleitoral, CIS identificou que o nível mais alto de risco decorre dos sistemas que estão conectados à rede – conectados a qualquer rede (não apenas a Internet) a qualquer momento. Esta categoria inclui a maioria dos sistemas de registro eleitoral e relatórios eleitorais noturnos, e também pode incluir alguns sistemas de gestão eleitoral, e-pollbooks e, em alguns casos, sistemas de tabulação. Funcionários devem fazer avaliações de sistemas individuais usados por suas organizações. Os funcionários eleitorais devem confirmar que a votação as máquinas não estão conectadas à rede, mas essas máquinas ainda podem apresentar riscos substanciais que exigem priorização.
Os sistemas não conectados a uma rede ainda requerem avaliação cuidadosa e mitigação de riscos priorizada. Estes indiretamente os sistemas conectados nunca estão conectados a uma rede. A troca de dados entre eles e com outros sistemas, ocorre indiretamente por meio de mídia removível, como unidades USB.
Além de sistemas e dispositivos conectados à rede e indiretamente conectados, uma área adicional de risco envolve a transmissão de dados entre sistemas. Por exemplo, as definições de votação e PDFs podem ser bem protegidos no sistemas da jurisdição, mas apresentam o risco quando são enviados por e-mail para uma impressora de cédulas de terceiros.
Líder no Processo de Aquisição de TI
Mesmo para commodities, adquirir TI é mais do que apenas comprar um produto ou serviço – é um processo. A aquisição O processo pode ser muito complexo e pode variar amplamente de estado para estado e de localidade para localidade. Este guia não aborda as especificidades e particularidades de qualquer jurisdição; o objetivo deste apêndice é fornecer uma descrição básica de aquisições em geral, para que funcionários e funcionários que não sejam de aquisições tenham uma melhor compreensão dos processo de execução de uma aquisição.
A Equipe de Aquisições
Pode ser exagero dizer que é preciso uma equipe para executar uma aquisição, mas há uma série de atores essenciais envolvido:
• Funcionários eleitorais. De uma perspectiva interna, os funcionários eleitorais são os clientes. Os oficiais eleitorais devem procuram desenvolver relacionamentos positivos e colaborativos com outras funções organizacionais, mas deve sempre lembre-se de que a principal prioridade é a capacidade de alcançar os resultados de que precisam. Os oficiais eleitorais devem manter total compreensão do que está ocorrendo ao longo do processo de aquisição. Como uma eleição oficial, se algo não fizer sentido, peça esclarecimentos até ficar satisfeito. Este é o papel e certo do cliente
• Equipes de aquisições. O papel das equipes de aquisição é apoiar os funcionários eleitorais no processo e procedimentos da aquisição. Eles sabem como executar adequadamente contratos de bens e serviços dentro sua jurisdição. Eles geralmente são a autoridade final sobre a entrada em vigor de um contrato, mas sua papel é melhorar a maneira como os programas e equipes operacionais, como escritórios eleitorais, executam seus missão.
• Equipes de TI, incluindo equipes de segurança de TI. Seja estadual ou local, as equipes de TI muitas vezes ajudam a definir diretrizes para aquisições e também pode estar envolvido na evolução e execução de algumas aquisições. As equipes de TI podem definir requisitos, mas também pode desempenhar um papel consultivo. As equipes de TI se concentram mais do que a segurança. Não presuma a perspectiva deles é alcançar o mesmo nível de segurança que você deseja ou que suas informações resultarão em melhores resultados de segurança. Eles estão lá para fornecer suporte sobre as melhores práticas para aquisições de TI, mas como o cliente, você deve usar essas informações para avaliar os riscos antes de tomar a decisão final.
O Ciclo de Vida de TI
Uma breve descrição do ciclo de vida de TI pode nos ajudar a entender a importância dos diferentes aspectos do processo de procuração. As descrições variam, mas geralmente o ciclo de vida de TI pode ser descrito em três partes amplas:
• Desenvolvimento e integração: O hardware e o software devem primeiro ser bem projetados. Quando um pedaço de hardware ou software mal projetado, pode não haver maneira de a organização de compra proteja-o. Quando bem elaborado, deve ser devidamente implementado e integrado na eleição a infraestrutura. Essa integração às vezes faz parte da aquisição de hardware ou software ou pode ser gerenciado por uma equipe de operações separada.
• Patch e manutenção: mesmo com uma configuração e integração inicial bem-sucedida, as organizações precisam para gerenciar sua TI em um ambiente em constante mudança. Isso requer treinamento atualizado para o pessoal, processos de segurança bem definidos e executados e gestão contínua e eficaz de serviços.
• Transição de fim de contrato e fim de vida: as organizações devem compreender a expectativa de vida do hardware ou software antecipadamente e ter um plano razoável para substituí-lo. Fornecedores, especialmente prestadores de serviços, deve estar preparado para trabalhar com funcionários eleitorais para planejar isso desde o início. Isso também deve incluir transições se um fornecedor diferente ganhar o contrato.
Planejamento
A primeira etapa de uma aquisição é o planejamento. Requer uma compreensão clara do escopo e dos objetivos do aquisição, os requisitos e resultados desejados da aquisição e os riscos associados ao Compras.
• Definir objetivos de negócios
Revisar ou definir os objetivos de negócios da organização ajudará a colocar a aquisição potencial no contexto do ambiente e ajudará em muitas decisões iniciais, mas críticas. Para os fins deste guia, as organizações devem se concentrar em sua postura de risco geral e no impacto da indisponibilidade potencial ou erro no funções individuais e componentes da infraestrutura eleitoral. Além disso, para aquisições de TI, objetivos claros vai ajudar na análise se o hardware precisa ser comprado ou alugado, seja para usar a nuvem ou no local soluções, quer você precise de suporte sustentado de longo prazo ou de uma onda de recursos. Quanto mais claros forem esses objetivos no desde o início, maior será a probabilidade de uma aquisição bem-sucedida.
Os objetivos de negócios devem estar ligados aos resultados da organização que incluem benefícios esperados, critérios de aceitação, sucesso métricas e impactos financeiros.
• Requisitos de rascunho
Quanto melhores forem os requisitos para a aquisição, maior será a probabilidade de você obter o que deseja com isso. Mas o crítico aspecto é vincular os requisitos de um produto ou serviço às necessidades de negócios da organização. Requisitos irão identificar as entregas e indicar claramente os requisitos que devem ser atendidos com precisão e aqueles para os quais um fornecedor pode ter flexibilidade para propor alternativas.
As organizações eleitorais podem descobrir que precisam de ajuda para definir os requisitos. Eles podem olhar para os requisitos que têm foram definidas por organizações externas, como as especificações desenvolvidas sob os auspícios da EAC e NIST ou documentos de requisitos de contrato desenvolvidos por outras organizações eleitorais e listados no site da EAC. Algum as organizações podem ter preferência por reutilizar requisitos de contratos anteriores.
As melhores práticas fornecidas neste guia podem ser úteis na identificação de requisitos que abordam especificamente correção das funções de TI eleitoral e garantia da segurança das operações. Recomenda-se que os requisitos incluir a identificação de requisitos mínimos de segurança, onde a falha em fornecer resulta em desqualificação, também como requisitos de segurança desejados, que podem ajudar na classificação das ofertas de diferentes proponentes. Embora os requisitos evoluam à medida que você se prepara para a aquisição e reúne informações adicionais, ainda é essencial desenvolvê-los o mais completamente possível nesta fase inicial.
• Estabeleça um plano de aquisições
Como qualquer coisa, começar com um bom plano aumentará as chances de obter os resultados desejados. Usando o objetivos e requisitos já estabelecidos, você pode desenvolver um plano que inclua cronogramas e identifique os custos e riscos.
Nesta fase, você frequentemente decidirá que tipo de veículo de aquisição usar (por exemplo, contratos de fonte única, compra de um cronograma, concorrência total e aberta) e envolverá a coordenação com funcionários de compras, proprietários de negócios e TI pessoal para garantir que o plano seja viável.
Pesquisa de Mercado
A pesquisa de mercado, incluindo o alcance da indústria, pode ser uma excelente maneira de identificar o funcionamento e a segurança recursos que estão disponíveis em outras fontes. Os resultados da pesquisa de mercado devem servir como insumos para o refino requisitos. Embora alguns fornecedores de máquinas de votação constituam a grande maioria do mercado, as opções de não-voto sistemas em eleições, especialmente aqueles que funcionam em hardware e software de TI commodity, são tão amplos quanto o mercado de TI quanto um todo.6 Uma pesquisa de mercado minuciosa pode garantir que os itens adquiridos atendam aos resultados desejados. A ênfase na segurança durante a pesquisa de mercado é muito importante. Dado o aumento relativamente recente nas expectativas em relação à segurança, bem como a crescente ameaça aos sistemas eleitorais, a pesquisa de mercado é uma excelente oportunidade para descobrir o que os líderes da indústria estão fazendo em relação à segurança.
Além disso, a pesquisa de mercado ajuda a identificar algumas das diferenças importantes entre os fornecedores que podem impactar resultados no futuro. Além das capacidades atuais, talvez menos empolgante, mas tão importante é o serviço acordos, garantias e diferenças de suporte de ciclo de vida que podem ter um impacto duradouro.
A pesquisa de mercado de qualidade também pode ajudar a identificar o veículo contratado, bem como as opções de desconto, e pode incluir trabalho com outras localidades, o estado e até o governo federal para obter descontos e preços negociados. Até se sua localidade não pode aproveitar algumas dessas oportunidades, conhecê-las pode ajudá-lo a entender estruturas de preços dos fornecedores e dar a você uma vantagem nas negociações.
A pesquisa de mercado pode ser facilmente realizada usando uma Solicitação de Informações (RFI) que é postada publicamente ou enviada para fornecedores ou contratados em potencial com base em critérios predefinidos. Outro método popular é ter uma “indústria dia ”que convida os fornecedores a apresentarem a potenciais compradores. Mas a realização de pesquisas de mercado não precisa ser inteiramente formal. Qualquer coisa que aumente sua capacidade de tomar boas decisões de aquisição – conversando com colegas sobre suas experiências com fornecedores, procurando por novos fornecedores na Internet, fazendo ligações para fornecedores, revisando o passado aquisições e de outras jurisdições – podem ajudá-lo a alcançar seu objetivo.
Depois de concluir sua pesquisa de mercado, você pode atualizar seu plano de compras e requisitos. Com cuidado pensamento, planejamento e pesquisa sobre o que você precisa e o que está disponível, você está pronto para passar para a solicitação em si.
Solicitação e Prêmio
Sua jurisdição pode ter requisitos específicos para os tipos de aquisições que permite em um determinado conjunto de circunstâncias, mas geralmente você verá que aquisições de baixo valor em dólar, de curta duração ou de commodities não exigem muito escrutínio ou papelada, enquanto aquisições grandes, de longa duração e especializadas têm um prazo de entrega mais longo e exigem mais revisão.
• Emitindo uma solicitação
Compras simples podem ser tão diretas quanto usar um cartão de crédito ou comprar em uma central de compras em sua jurisdição. O processo geralmente é bastante simples e não é abordado neste guia. Dito isso, sourcing indevido itens tão simples como um stick USB podem ter impactos de segurança devastadores. Então, mesmo quando parece uma tarefa de cinco minutos, quando envolver compras de TI, leve todos os assuntos a sério.
Para aquisições maiores, os produtos e serviços são geralmente adquiridos de um contrato ou cronograma a granel existente ou são solicitados por meio de um processo de aquisição competitivo. No caso de uma aquisição que requeira alta especialização itens ou um em que haja apenas um fornecedor ou um pequeno número de fornecedores, lembre-se de que os requisitos de segurança não mude e, portanto, o processo para garantir a segurança não deve mudar, mesmo com opções limitadas.
Uma solicitação de cotação (RFQ) ou solicitação de proposta (RFP) ou ferramenta semelhante aciona o processo de proposta formal. Uma vez o RFQ foi liberado ou publicado, o trabalho de preparação da cotação ou licitação agora está no fornecedor, mas o governo ainda deve ter um papel ativo na aquisição. Circulando amplamente uma aquisição e respondendo às perguntas dos licitantes são aspectos críticos para garantir lances fortes.
• Comunicação durante a solicitação
Manter a justiça é importante no processo de solicitação, mas também é importante manter a comunicação. Como acontece com muitos processos, uma queda muito comum do processo de solicitação é uma falha de comunicação entre os governo e fornecedores. No interesse de não divulgar informações que possam beneficiar injustamente um fornecedor, funcionários do governo às vezes evitam responder a perguntas ou discutir a aquisição com o indivíduo vendedores. Isso pode dificultar uma aquisição e levar os proponentes a interpretar mal os requisitos ou não conseguir refletem o que é realmente importante para o governo.
Muito disso pode ser evitado com um bom planejamento e pesquisa, mas o governo também deve manter comunicação ao longo do processo. Uma maneira boa – e barata – de responder a perguntas enquanto mantém justiça é exigir que todas as perguntas, com suas respostas, sejam postadas publicamente com a solicitação. Mesmo com um conferência de proponentes, todos terão acesso a informações de esclarecimento, o que melhora as propostas e, finalmente, resulta em melhores resultados para o governo.
Seu estado ou localidade pode ter regras ou sistemas específicos para perguntas e respostas, portanto, trabalhe sempre com o autoridade de licitação para permanecer na linha.
• Avaliação de propostas e seleção de fornecedores
A avaliação de cotações ou propostas deve ser um processo formal para garantir o trabalho que foi feito para planejar, pesquisar, marketing, e esclarecer a aquisição tem um bom uso. Algumas aquisições de TI escolherão a seleção do proposta que tem o lance mais baixo, embora atenda aos requisitos mínimos estabelecidos (custo mais baixo), enquanto outros permitirão para uma avaliação mais ampla de tudo o que é oferecido na proposta (melhor valor). Dada a natureza da segurança e a dificuldade de capturar todos os requisitos de segurança, no mínimo, normalmente é preferível avaliar a segurança usando um melhor valor Método de avaliação.
Qualquer que seja o método aplicado, os avaliadores devem primeiro eliminar qualquer proposta que não atenda ao mínimo requisitos. Em uma aquisição de melhor valor, os avaliadores precisam identificar métodos objetivos para identificar e avaliar o valor de atributos adicionais de uma proposta ao compará-la com uma oferta de custo mais baixo. Quando houver grandes diferenças nas propostas, pode ser difícil colocar um impacto de custo no valor de atributos adicionais, para exemplo, melhor segurança que pode reduzir o risco de ataques bem-sucedidos – que têm consequências muito caras. Criticamente importante para uma melhor análise de valor é a documentação e o raciocínio objetivo. Como tudo, sua jurisdição é as regras de aquisição são importantes, mas, em geral, documentar uma base defensável e objetiva para as decisões fará o trabalho ser realizado. Além disso, normalmente é útil ter um ou mais indivíduos não especificamente envolvidos com a avaliação de aquisições fazer uma “verificação de sanidade” independente nas análises de melhor valor para garantir que a lógica por trás da avaliação objetiva é capturado apropriadamente.
Nas aquisições de melhor valor, as negociações geralmente também fazem parte do processo de avaliação e seleção. Abordagens para as negociações variam, mas o governo deve entrar com uma expectativa clara do que quer e do que não pode aceitar. Embora nenhuma aquisição seja perfeita, quanto mais claras forem as expectativas com antecedência, maior será a probabilidade de um resultado positivo resultado.
Gestão de Aquisições
Além da mais simples das aquisições, sempre há mais do que a entrega de um produto e uma troca de dinheiro. Para contratos de TI em eleições, isso significa que os funcionários eleitorais e suas equipes precisam de envolvimento contínuo em aquisições, tanto de pessoal técnico como não técnico. Isso é verdade para todas as TI: hardware, software e serviços. Para tanto, os indivíduos em cargos eleitorais precisam de um nível de treinamento que os capacite a entender o que podem e não pode fazer na gestão de uma aquisição.
Para contratos de suporte de hardware e software, a equipe eleitoral de TI e não TI deve compreender o nível de serviço acordos que foram especificados no contrato – quem responde em uma interrupção, quais são os tempos de atividade esperados, com que rapidez deve um fornecedor responder a uma falha de sistema ou outra interrupção. Para contratos de serviços, o pessoal eleitoral também deve compreender os tempos de resposta contratados em caso de emergências, planos de contingência e como garantir a conformidade em um situação crítica. Para muitas situações inesperadas, alguém cujo trabalho do dia-a-dia não está em aquisições provavelmente não têm a experiência ou conhecimento para sempre ter a resposta certa, então esses indivíduos devem manter relacionamentos com funcionários de compras.
Existem várias áreas de foco de segurança que são importantes no gerenciamento de contratados. Na maioria dos casos, um contrato irá exigem um plano de segurança específico do contrato que descreve os processos e atividades para garantir que a segurança seja mantida por meio de atividades como atualizações de segurança de software, avaliações de vulnerabilidade, resposta a incidentes e pessoal Treinamento. Manter o pessoal de compras atualizado sobre as principais atividades, eventos futuros importantes e riscos contínuos pode acelerar seu tempo de reação quando algo sai errado.
Posts relacionados: Pesquisadores sinalizam falhas de segurança em votos eletrônicos / Cidadãos da Califórnia dizem SIM para nova lei de Privacidade e PwC – 24ª pesquisa Global Anual de CEOs
Informações obtidas/adaptadas de Election Security Best Practices