Normas comunes de ciberseguridad del Gobierno - Y qué hacer para cumplirlas
El sector público, incluidos los organismos estatales y federales, corre el mismo riesgo de sufrir ciberataques que el sector privado. Sin embargo, en términos de adopción de tecnología, se sabe que el sector público va a la zaga del privado, lo que crea un entorno en el que algunas organizaciones gubernamentales no consiguen montar una defensa adecuada contra los actores de las amenazas..
En los últimos años, el Gobierno Federal y algunas organizaciones externas han introducido una serie de normas para ayudar a guiar los esfuerzos de ciberseguridad del sector público. Aquí cubriremos algunas de estas normas y esbozaremos lo que las organizaciones gubernamentales y del sector público (y sus contratistas) pueden hacer para cumplirlas.
Normas de ciberseguridad del sector público
Hay una larga lista de normas de ciberseguridad que se aplican en algún nivel al sector público. Las normas que figuran a continuación son reglamentos impulsados por los gobiernos o tienen implicaciones para las instituciones del sector público:
- En Instituto Nacional de Normas y Tecnología (NIST) Marco de Ciberseguridad (CSF) proporciona orientación para gestionar los riesgos de ciberseguridad. Aunque no impone ninguna acción específica, es una directriz utilizada habitualmente por las agencias federales, así como por los gobiernos estatales y locales.
- La Ley Federal de Gestión de la Seguridad de la Información (FISMA) establece que los organismos federales deben implantar y mantener controles de seguridad adecuados para proteger su información y sus sistemas. Las agencias deben seguir el NIST CSF junto con otras directrices y normas del NIST.
- La Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) se aplica a las organizaciones que procesan, almacenan o transmiten información de tarjetas de pago. Esto incluye a las organizaciones del sector público que manejan datos sensibles de tarjetas de pago. El cumplimiento de la PCI exige satisfacer las especificaciones de la norma, y su incumplimiento puede acarrear multas.
- La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) afecta a cualquier organización que maneje información sanitaria protegida (PHI). Obliga a las organizaciones cubiertas a aplicar controles de seguridad adecuados para proteger la PHI.
- El sitio Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) incluye la Certificación del Modelo de Madurez de Ciberseguridad (CMMC)que es un marco de ciberseguridad utilizado, entre otros fines, por el Departamento de Defensa para evaluar la postura de ciberseguridad de contratistas y subcontratistas.
- En Instituto Nacional de Normas y Tecnología (NIST) SP 800-53 contiene directrices para la selección e implementación de controles de seguridad para sistemas de información y organizaciones. Lo utilizan los organismos federales, pero también suele aplicarse a los contratistas de la Administración que trabajan en redes informáticas federales.
- El sitio Organización Internacional de Normalización (ISO) 27001 y (ISO) 27002 serían un ejemplo de normas no gubernamentales que tienen lecciones relevantes para el sector público y, por lo tanto, se aplican a las organizaciones del sector público, ya que proporcionan directrices para la gestión de la seguridad de la información.
¿Qué puede hacer para garantizar el cumplimiento?
Dependiendo de las normas que cubran a su organización, existen distintas implicaciones en caso de incumplimiento. Pero, como mínimo, las normas enumeradas anteriormente simplemente proporcionan buenos consejos que merece la pena seguir si quieres mantener a salvo los datos de tu organización, evitar ataques de ransomware y evitar tiempos de inactividad.
Sin embargo, cumplir la normativa de forma sistemática no es fácil, y requiere un planteamiento estratégico respaldado por los recursos y herramientas adecuados. Algunas de las cosas clave que debe hacer su organización son:
- Comprenda cuáles son sus obligaciones. Muchas de las normas son amplias, y su cumplimiento varía desde una mera recomendación a un mandato absoluto que implica multas, o algo peor. Para responder con éxito, determine cuáles son los mandatos más críticos y específicos, responda primero a ellos y vaya descendiendo.
- Fijar objetivos de ciberseguridad a nivel directivo. La implicación del nivel directivo es fundamental para cumplir las obligaciones de conformidad. No puede dejarse en manos de los niveles inferiores, porque el cumplimiento práctico de la ciberseguridad es también una cuestión de cultura, y es una cultura que debe filtrarse desde arriba.
- Dotación adecuada de recursos para el cumplimiento de la ciberseguridad. La complejidad de los entornos informáticos actuales, combinada con la magnitud de la amenaza a la ciberseguridad, es enorme. Es una gran tarea. No va a conseguirlo con un equipo mínimo financiado. Recurso adecuado.
- Empezar con buenas prácticas. Las buenas prácticas son buenas prácticas por una razón, ya sea la AMF, la confianza cero o la supervisión y las auditorías constantes. No dé por sentado que existen buenas prácticas y no minimice la importancia de lo que parece ser de conocimiento común. Gran parte de lo que se exige en las normas de ciberseguridad no es más que una repetición de buenas prácticas, y se repite por una razón. Aplique de todos modos los principios más sensatos.
- Considere la posibilidad de contratar consultores. Es complejo, como ya hemos dicho antes, así que no sobreestime las capacidades de sus equipos internos. Esto es válido sobre todo si acaba de empezar a centrarse en el cumplimiento, porque los consultores pueden ayudarle a añadir cierta perspectiva y contexto a lo que necesita conseguir. Sin embargo, los consultores externos pueden proporcionar una útil comprobación de la realidad incluso si ya dispone de un equipo experimentado.
- Manténgase en contacto con la vanguardia. La ciberseguridad es un campo que evoluciona rápidamente y los actores de las amenazas mejoran con rapidez, lo que significa que su tecnología de ciberseguridad también debe seguir el ritmo. Hemos publicado una útil lista de tendencias aquí.
- Aplicar live patching siempre que sea posible. La aplicación de parches está en el centro de muchos marcos de ciberseguridad, pero también es uno de los aspectos del cumplimiento de la ciberseguridad más difíciles de corregir. La aplicación de parches en tiempo real puede marcar la diferenciaReduce las ventanas de mantenimiento y los requisitos de recursos, y minimiza la ventana entre la publicación del parche y su aplicación.
El cumplimiento de la ciberseguridad requiere, sin duda, un esfuerzo concertado que esté plenamente arraigado en la cultura de la organización.
Su respuesta debe ser exhaustiva
Para el sector público, se reduce a varias capas de normas de ciberseguridad. Algunas de estas normas son opcionales, pero conviene cumplirlas de todos modos. Otras imponen objetivos específicos, y las organizaciones que están cubiertas pero no cumplen estos objetivos serán objeto de sanciones.
Una respuesta integral y global es su única opción. Comprenda qué debe hacer su organización para seguir cumpliendo la normativa y obtenga toda la ayuda posible: recursos internos, consultores y las últimas herramientas de defensa de la ciberseguridad: incluida la aplicación de parches en tiempo real.