- CISA emite BOD 25-01, su primera guía vinculante del año
- Aborda la seguridad de Microsoft 365, que está amenazada
- Próximamente también se agregarán otros proveedores de nube
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido su primera guía operativa vinculante para 2025, que incluye un conjunto de reglas y requisitos para garantizar que… microsoft 365 nubes Los entornos cumplen con sus propios estándares de ciberseguridad.
BOD 25-01 es obligatorio para todos los sistemas y activos del Poder Ejecutivo Civil Federal (FCEB), pero CISA aconseja a las empresas del sector privado que también lo sigan.
Gira en torno a implementar una herramienta personalizada para evaluar la configuración de automatización (ScubaGear para auditorías de Microsoft 365), integrarla con la infraestructura de monitoreo continuo de CISA y luego corregir cualquier desviación de la lista de línea base de configuración segura (SCB) requerida.
Políticas obligatorias
“Los recientes incidentes de ciberseguridad resaltan los importantes riesgos que plantean las configuraciones erróneas y los controles de seguridad débiles, que los atacantes pueden utilizar para obtener acceso no autorizado, robar datos o interrumpir servicios”, dijo CISA.
“Esta guía requiere que las agencias civiles federales identifiquen inquilinos específicos de la nube, implementen herramientas de evaluación y alineen los entornos de la nube con las líneas base de Configuración Segura para Aplicaciones Empresariales en la Nube (SCuBA) de CISA”.
Esto es lo que CISA pide a las organizaciones FCEB que hagan:
– Identificar todos los inquilinos de la nube dentro del alcance de esta directiva antes del 21 de febrero de 2025.
– Implementar todas las herramientas de evaluación SCUBA para los inquilinos de la nube dentro de banda a más tardar el viernes 25 de abril de 2025.
– Implementar todas las políticas de buceo obligatorias vigentes a partir de la emisión de la directiva a más tardar el viernes 20 de junio de 2025.
– Implementar todas las actualizaciones futuras de las políticas de buceo obligatorias.
– Implementar todas las líneas de base obligatorias para la configuración segura de SCUBA
Puede encontrar una lista de todas las políticas obligatorias en Ubicación de las configuraciones requeridas. Al momento de esta publicación, las líneas base de Configuración Segura incluían Microsoft 365, Azure Active Directory/Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online, OneDrive y Microsoft Teams.
Google Otras plataformas en la nube seguirán sus pasos en los próximos meses.
CISA también tiene una lista de procedimientos obligatorios, sobre los cuales puede leer más aquí.
a través de pitidocomputadora