Requisitos de seguridad CISA: Protección de la información sensible

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha anunciado recientemente una propuesta de requisitos de seguridad destinados a impedir que los países adversarios accedan a la información personal y gubernamental de los estadounidenses. Estas directrices propuestas forman parte de un esfuerzo más amplio en el marco de la Orden Ejecutiva 14117, firmada por el Presidente Biden a principios de este año, y reflejan la creciente preocupación por los riesgos para la seguridad de los datos que amenazan la seguridad nacional.

Ante el aumento de las violaciones de datos y las actividades cibernéticas patrocinadas por el Estado, estos requisitos de seguridad pretenden contrarrestar las amenazas extranjeras y reforzar la postura de seguridad de las entidades estadounidenses.

¿A quién afectan los requisitos de seguridad CISA?

Los nuevos requisitos de seguridad se centran principalmente en las organizaciones que manejan transacciones restringidas que implican grandes volúmenes de datos personales estadounidenses sensibles o vinculados a intereses gubernamentales. El énfasis se pone en entidades de sectores como la tecnología, las telecomunicaciones, la sanidad, la biotecnología, las finanzas y la contratación de defensa. Los requisitos de la CISA pretenden mitigar los riesgos que podrían surgir si los datos gestionados por estas organizaciones se expusieran a "países de interés" o "personas cubiertas", que generalmente incluyen naciones e individuos conocidos por el ciberespionaje y las campañas de piratería informática patrocinadas por el Estado contra intereses estadounidenses.

¿Cuáles son los requisitos de seguridad propuestos?

La CISA se centra en dos áreas principales: la seguridad a nivel de organización y de sistema y los requisitos de seguridad a nivel de datos. He aquí un desglose de algunas propuestas clave.

• Las organizaciones deben mantener y actualizar un inventario de activos cada mes, incluyendo direcciones IP y direcciones MAC de hardware.
• Corregir las vulnerabilidades explotadas conocidas (KEV) en un plazo de 14 días.
• Solucione las vulnerabilidades críticas en un plazo de 15 días (incluso si no se han explotado) y las vulnerabilidades de alta gravedad en un plazo de 30 días. KernelCare Enterprise de TuxCare puede agilizar considerablemente este proceso automatizando la aplicación de parches a las vulnerabilidades del kernel sin necesidad de reiniciar el sistema. KernelCare es compatible con las principales distribuciones de Linux para empresas, como Ubuntu, Debian, RHEL, CentOS, Rocky Linux, AlmaLinux, CloudLinux, Oracle Linux, Amazon Linux, etc.
• CISA propone mantener una topología de red precisa para una identificación y respuesta eficaces ante incidentes.
• Imponga la autenticación multifactor (MFA) en los sistemas críticos y aplique políticas de contraseñas seguras (16 caracteres como mínimo). Además, revoque inmediatamente las credenciales de acceso cuando las personas abandonen la organización o cambien de función.
• Implemente políticas para evitar que dispositivos no autorizados, como los USB, se conecten a los sistemas cubiertos.
• Recopilar y almacenar registros relacionados con eventos de acceso y seguridad durante al menos 12 meses (o hasta la resolución final de una violación de datos). Esto incluye alertas del sistema de detección de intrusos/sistema de prevención de intrusos (IDS/IPS), registros de cortafuegos, VPN y eventos de inicio de sesión para permitir la identificación oportuna de posibles violaciones de la seguridad.
• Denegar todas las conexiones por defecto a menos que se permita explícitamente para funciones específicas.
• Aplicar estrategias de minimización y enmascaramiento de datos para reducir la necesidad de recopilar u ofuscar datos.
• Aplique el cifrado a los datos confidenciales en todas las transacciones restringidas para protegerlos contra el acceso no autorizado. Cifre los datos en tránsito y en reposo utilizando el cifrado estándar del sector (por ejemplo, TLS 1.2 o superior). Almacene las claves de cifrado por separado e impida el acceso de personas o lugares no autorizados.
• Utilizar técnicas como el cifrado homomórfico y la privacidad diferencial para impedir la reconstrucción de los datos cubiertos, garantizando que los datos procesados no puedan vincularse a información sensible.

Conclusión

CISA agradece los comentarios del público sobre estos requisitos de seguridad propuestos antes de su finalización. Si le preocupa la seguridad de los datos y desea contribuir a un futuro digital más seguro, puede aportar sus comentarios en regulations.gov buscando CISA-2024-0029 y seleccionando la opción "Comente ahora".

A medida que las organizaciones se adaptan a los nuevos requisitos de seguridad de CISA, la aplicación de enfoques modernos como la aplicación automatizada de parches en tiempo real puede simplificar el proceso de aplicación de parches de vulnerabilidad y minimizar las interrupciones. KernelCare Enterprise permite a las empresas mantener la seguridad y la conformidad sin sacrificar el tiempo de actividad ni la continuidad operativa.

¿Tiene alguna pregunta sobre seguridad en Linux, parches de vulnerabilidad o normas de cumplimiento? Póngase en contacto con nuestros expertos hoy mismo: estamos aquí para ayudarle a encontrar soluciones eficaces para su organización.

Fuente: CISA

Resumen

Nombre del artículo

Requisitos de seguridad CISA: Protección de la información sensible

Descripción

Conozca los nuevos requisitos de seguridad de CISA para proteger los datos personales confidenciales y los relacionados con el gobierno de EE.UU. frente a amenazas extranjeras.

Autor

Rohan Timalsina

Nombre del editor

TuxCare

Logotipo de la editorial