- CISA exige a las organizaciones de sectores críticos actualizar su seguridad
- Se aplicará MFA, gestión de vulnerabilidades y cifrado de datos.
- Estos cambios ayudarán a mitigar el potencial de robo de datos por parte del gobierno y actores patrocinados por el estado.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado un conjunto de Requisitos de seguridad propuestos Su objetivo es reducir los riesgos que plantea el acceso no autorizado a datos estadounidenses.
La medida se debe a preocupaciones sobre las vulnerabilidades expuestas por recientes ciberataques, campañas de piratería patrocinadas por estados y el uso indebido de datos personales por parte de naciones hostiles.
La propuesta es consistente con la Orden Ejecutiva 14117, firmada por el presidente Biden a principios de 2024, que busca abordar las vulnerabilidades en la seguridad de los datos que podrían dañar los intereses nacionales.
Mejorar la protección contra amenazas externas
Los requisitos propuestos se centran en entidades que manejan datos confidenciales a gran escala, particularmente en industrias como la inteligencia artificial, las comunicaciones, la atención médica, las finanzas y la contratación de defensa.
Las empresas que operan en estas áreas se consideran objetivos críticos debido a la naturaleza de los datos que gestionan. La industria estadounidense de las telecomunicaciones ha sido objeto recientemente de un ataque masivo.
El principal temor de CISA es que los datos de estas organizaciones puedan caer en manos de “países de interés” o “personas cubiertas”, términos que el gobierno de Estados Unidos utiliza para referirse a adversarios extranjeros conocidos por participar en ciberespionaje y violaciones de datos.
Estos nuevos estándares de seguridad tienen como objetivo cerrar las lagunas que podrían exponer datos confidenciales a grupos patrocinados por el Estado y agencias de inteligencia extranjeras.
Las empresas deberán mantener un inventario actualizado de sus activos digitales, incluidas direcciones IP y configuraciones de dispositivos, para estar preparadas ante posibles incidentes de seguridad. Las empresas también deberán aplicar múltiples factores Autenticación (MFA) en todos los sistemas críticos y requiere contraseñas de al menos 16 caracteres para evitar el acceso no autorizado.
La gestión de vulnerabilidades es otro enfoque clave, y las organizaciones deben abordar y remediar cualquier vulnerabilidad conocida o falla crítica explotada en un plazo de 14 días, incluso si la explotación no ha sido confirmada. Las vulnerabilidades de alto riesgo deben solucionarse en un plazo de 30 días.
La nueva propuesta también enfatiza la transparencia de la red y las empresas deben mantener topologías de red detalladas para mejorar su capacidad de identificar y responder a incidentes de seguridad.
Revocar inmediatamente el acceso de los empleados después de un despido o un cambio de función es esencial para evitar amenazas internas. Además, se evitará que dispositivos no autorizados, como dispositivos USB, se conecten a sistemas que manejan datos confidenciales, lo que reduce el riesgo de fuga de datos.
Además de las protecciones a nivel de sistema, la propuesta CISA introduce medidas sólidas a nivel de datos destinadas a minimizar la exposición de información personal y gubernamental. Se alentará a las organizaciones a recopilar solo los datos necesarios para sus operaciones y, cuando sea posible, anonimizarlos o anonimizarlos para evitar el acceso no autorizado. El cifrado desempeñará un papel fundamental a la hora de proteger los datos durante cualquier transacción que involucre una “entidad restringida”, garantizando que incluso si los datos son interceptados, no puedan descifrarse fácilmente.
La condición crucial es esta. Cifrado Las claves no deben almacenarse junto con los datos que protegen, especialmente en áreas identificadas como países de preocupación. Además, también se alentará a las organizaciones a adoptar tecnologías avanzadas que preserven la privacidad, como el cifrado simétrico o la privacidad diferencial, que permiten procesar datos sin revelar información subyacente.
CISA está buscando comentarios públicos sobre los requisitos propuestos para mejorar el marco antes de finalizarlo. Se invita a las partes interesadas, incluidos líderes de la industria y expertos en ciberseguridad, a enviar sus comentarios a través de regulaciones.gov ingresando CISA-2024-0029 en el campo de búsqueda y siguiendo las instrucciones para enviar comentarios.
a través de pitidocomputadora