in

CISA ordena a las agencias federales que intensifiquen los esfuerzos de seguridad cibernética

03XZOmncR1lBnlLcxIdFF61 1.1635950088.fit lim.size 1200x630

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) ha creado el Catálogo de vulnerabilidades explotadas conocidas para proporcionar a varias organizaciones, empresas y agencias federales la información que necesitan para proteger sus redes.

La mayoría de las organizaciones privadas pueden utilizar este catálogo como mejor les parezca. Las agencias federales no pueden darse ese lujo; la directiva de CISA incluye una lista de acciones requeridas que prácticamente todas las agencias federales deben tomar para proteger sus sistemas. (CISA dice que las reglas no se aplican a «‘sistemas de seguridad nacional’ definidos por ley ni a ciertos sistemas operados por el Departamento de Defensa o la Comunidad de Inteligencia»).

«Estados Unidos enfrenta campañas cibernéticas maliciosas persistentes y cada vez más sofisticadas que amenazan al sector público, al sector privado y, en última instancia, a la seguridad y privacidad del pueblo estadounidense», dice CISA en los antecedentes de la Directiva operativa vinculante 22-01. «El gobierno federal debe mejorar sus esfuerzos para protegerse contra estas campañas garantizando la seguridad de los activos de tecnología de la información en toda la empresa federal».

Ahí es donde se supone que ayuda el Catálogo de vulnerabilidades explotadas conocidas. CISA dice que utilizará el catálogo para compartir información sobre las vulnerabilidades a las que se les han asignado ID de Vulnerabilidades y Exposiciones Comunes (CVE) si parecen haber sido explotadas activamente y si «existe una acción clara de remediación para la vulnerabilidad, como la que proporcionó un proveedor. actualización disponible. El catálogo incluirá fallas de seguridad activamente dirigidas descubiertas tanto en hardware como en software.

Esta información ya se puede encontrar en otros lugares; Las ID de CVE están diseñadas específicamente para vulnerabilidades divulgadas públicamente. El problema es lograr que las organizaciones actúen sobre esta información. Estas advertencias a menudo se ignoran porque responder a ellas requiere tiempo, dinero y la voluntad de solucionar cualquier problema que resulte de cualquier cambio. Pero el Catálogo de vulnerabilidades explotadas conocidas no solo centraliza estos defectos; requiere que las agencias federales los remedien.

CISA dice que las agencias federales tienen seis meses para responder a vulnerabilidades cuyas CVE ID fueron asignadas antes de 2021. Sin embargo, tendrán solo dos semanas para responder a fallas de seguridad más nuevas, y CISA señala que «estos plazos predeterminados pueden ajustarse en el caso de grave riesgo para la Empresa Federal «. También se espera que las agencias «informen sobre el estado de las vulnerabilidades enumeradas en el repositorio» para que CISA pueda asegurarse de que realmente están siguiendo las reglas establecidas por esta directiva.

Recomendado por nuestros editores

Las agencias federales también han recibido 60 días para «revisar y actualizar los procedimientos internos de gestión de vulnerabilidades de la agencia de acuerdo con esta Directiva», dice CISA, lo que significa que esas políticas deben:

  • Establecer un proceso para la corrección continua de las vulnerabilidades que CISA identifica, a través de la inclusión en el catálogo administrado por CISA de vulnerabilidades explotadas conocidas, que conllevan un riesgo significativo para la empresa federal dentro de un plazo establecido por CISA de conformidad con esta directiva;

  • Asignar roles y responsabilidades para ejecutar las acciones de la agencia según lo requiere esta directiva;

  • Definir las acciones necesarias requeridas para permitir una respuesta rápida a las acciones requeridas por esta directiva;

  • Establecer procedimientos internos de validación y ejecución para garantizar el cumplimiento de esta Directiva; y

  • Establecer requisitos de seguimiento e informes internos para evaluar el cumplimiento de esta Directiva y proporcionar informes a CISA, según sea necesario.

«Las vulnerabilidades que se han utilizado anteriormente para explotar organizaciones públicas y privadas son un vector de ataque frecuente para los ciberactores malintencionados de todo tipo», dice CISA. «Estas vulnerabilidades representan un riesgo significativo para las agencias y la empresa federal. Es esencial remediar agresivamente las vulnerabilidades conocidas explotadas para proteger los sistemas de información federales y reducir los incidentes cibernéticos».

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad entregadas directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }