"CISA exige medidas de seguridad más estrictas para proteger datos sensibles de actores patrocinados por estados"

December 14, 2024 / Pablo

“CISA exige medidas de seguridad más estrictas para proteger datos sensibles de actores patrocinados por estados”

La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) está exigiendo a las organizaciones en sectores críticos que actualicen sus medidas de seguridad. Esto incluye la implementación de autenticación multifactor (MFA), gestión de vulnerabilidades y cifrado de datos. Estos cambios buscan reducir el riesgo de robo de información por parte de actores patrocinados por estados y naciones hostiles.

La CISA ha presentado un conjunto de requisitos de seguridad propuestos para proteger los datos estadounidenses de accesos no autorizados. Esta acción responde a las vulnerabilidades reveladas por recientes ciberataques y campañas de hacking patrocinadas por estados, así como al uso indebido de datos personales por naciones hostiles. La propuesta está alineada con la Orden Ejecutiva 14117, firmada por el presidente Biden a principios de 2024, que busca cerrar brechas en la seguridad de datos que podrían comprometer los intereses nacionales.

Los nuevos requisitos se centran en entidades que manejan grandes volúmenes de datos sensibles, especialmente en industrias como inteligencia artificial, telecomunicaciones, salud, finanzas y defensa. Estas empresas son consideradas objetivos críticos debido a la naturaleza de la información que gestionan. Por ejemplo, la industria de telecomunicaciones de EE. UU. ha sido recientemente víctima de un ataque significativo.

CISA está especialmente preocupada de que los datos de estas organizaciones puedan caer en manos de “países de preocupación” o “personas cubiertas”, términos que utiliza el gobierno de EE. UU. para referirse a adversarios extranjeros conocidos por su espionaje cibernético y violaciones de datos. Los nuevos estándares de seguridad buscan cerrar las brechas que podrían exponer datos sensibles a grupos patrocinados por estados y actores de inteligencia extranjeros.

Las empresas deberán mantener un inventario actualizado de sus activos digitales, incluyendo direcciones IP y configuraciones de hardware, para estar preparadas ante posibles incidentes de seguridad. También se requerirá que implementen autenticación multifactor en todos los sistemas críticos y que utilicen contraseñas de al menos 16 caracteres para prevenir accesos no autorizados.

La gestión de vulnerabilidades es otro enfoque clave; las organizaciones deberán remediar cualquier vulnerabilidad crítica conocida en un plazo de 14 días, incluso si no se ha confirmado su explotación. Las vulnerabilidades de alta gravedad deberán ser corregidas en un plazo de 30 días.

La propuesta también enfatiza la transparencia de la red, exigiendo a las empresas mantener topologías de red precisas para mejorar su capacidad de identificar y responder a incidentes de seguridad. Se requiere la revocación inmediata del acceso a los empleados tras su despido o cambios en su rol, para prevenir amenazas internas. Además, se prohibirá la conexión de hardware no autorizado, como dispositivos USB, a sistemas que manejen datos sensibles, reduciendo así el riesgo de filtraciones de datos.

Además de las protecciones a nivel de sistema, la propuesta de CISA introduce medidas robustas a nivel de datos para minimizar la exposición de información personal y gubernamental. Las organizaciones serán alentadas a recopilar solo los datos esenciales para sus operaciones y, cuando sea posible, a enmascararlos o desidentificarlos para prevenir accesos no autorizados. El cifrado jugará un papel vital en la protección de datos durante cualquier transacción que involucre una “entidad restringida”, asegurando que, incluso si los datos son interceptados, no puedan ser fácilmente descifrados.

Un requisito crítico es que las claves de cifrado no deben almacenarse junto a los datos que protegen, especialmente en regiones identificadas como países de preocupación. Además, se alentará a las organizaciones a adoptar técnicas avanzadas de preservación de la privacidad, como el cifrado homomórfico o la privacidad diferencial, que permiten procesar datos sin exponer la información subyacente.

CISA está buscando comentarios del público sobre los requisitos propuestos para perfeccionar el marco antes de su finalización. Se invita a las partes interesadas, incluidos líderes de la industria y expertos en ciberseguridad, a enviar sus comentarios a través de regulations.gov ingresando CISA-2024-0029 en el campo de búsqueda y siguiendo las instrucciones para proporcionar su opinión.

Pablo

"xAI lanza una versión mejorada de su chatbot Grok y reduce los precios de su API empresarial para impulsar la inteligencia artificial en redes sociales"

"La carrera por el razonamiento de la IA: ¿un avance revolucionario o una estrategia de marketing?"

Categorías

Now Reading: “CISA exige medidas de seguridad más estrictas para proteger datos sensibles de actores patrocinados por estados”