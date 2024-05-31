Recientemente, la Oficina de Responsabilidad Gubernamental de Estados Unidos publicó una actualización sobre los avances de la Orden Ejecutiva 14028, denominada "Improving the Nation’s Cybersecurity" ("Mejora de la ciberseguridad nacional").
En 2021, la Casa Blanca identificó 55 requisitos de liderazgo y supervisión que debían cumplirse para mejorar la ciberseguridad de los sistemas informáticos federales y todos ellos debían cumplir o superar el estándar establecido. La Orden Ejecutiva (14028) sobre la Mejora de la ciberseguridad nacional detallaba los motivos de este requisito y afirmaba que "la prevención, detección, evaluación y corrección de incidentes cibernéticos es una prioridad máxima y esencial para la seguridad nacional y económica".
Además, la orden ejecutiva (EO) indicaba que era esencial completarlas porque el gobierno debía dar ejemplo para animar al sector privado a reducir también el riesgo de violaciones y ataques a la ciberseguridad.
La EO designó a los organismos responsables de aplicar los requisitos: la Agencia de Seguridad Cibernética e Infraestructuras (CISA) del Departamento de Seguridad Nacional, el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Gestión y Presupuesto (OMB).
Los requisitos clave de esta orden se centraban en soluciones de ciberseguridad, entre las que se incluían:
La actualización de abril de 2024 informó de que las tres agencias responsables habían completado 49 de los requisitos. Se determinó que el requisito de estandarizar la guía de estrategias para responder a las vulnerabilidades e incidentes de ciberseguridad no era aplicable. Además, las agencias han completado parcialmente los cinco requisitos restantes.
De los requisitos clave, la modernización de la ciberseguridad del Gobierno federal es el único que se ha cumplido por completo. Las iniciativas en este ámbito han incluido la implementación de una arquitectura zero trust para las agencias federales, la protección de los servicios cloud y la centralización del acceso a los datos de ciberseguridad.
Otras iniciativas incluyeron abordar la dirección de los datos no clasificados, avanzar en la implementación de la autenticación multifactor y el cifrado y desarrollar una documentación de arquitectura técnica de referencia sobre seguridad en la nube.
Aunque la actualización elogiaba a las agencias por sus esfuerzos para mejorar la ciberseguridad federal, la conclusión subrayaba la importancia de completar los requisitos pendientes.
Los cinco requisitos restantes son:
Aunque la OMB incorporó parcialmente un análisis de costes en el proceso presupuestario anual, no proporcionó pruebas que detallaran la aplicación de todos los requisitos de liderazgo y supervisión establecidos en la orden.
La CISA y la OMB ayudaron al NIST a elaborar los criterios y directrices de las medidas de seguridad del software exigidas por el Gobierno federal. Estos organismos también crearon una definición de software crítico y una lista preliminar de categorías comunes de software que se ajustan a dicha definición. Sin embargo, la CISA no publicó la lista de categorías comunes de software antes de la fecha límite de septiembre de 2023.
La CISA no ha proporcionado pruebas de las medidas adoptadas para mejorar las operaciones ni de las recomendaciones para futuras operaciones. La actualización afirma que esta medida es fundamental para que la junta pueda llevar a cabo sus futuras revisiones de incidentes de manera eficaz.
Aunque la OMB informó de que había incorporado la detección y respuesta de endpoints (EDR) en sus directrices para las agencias en materia de presentación de presupuestos e incluido la EDR en la lista de métricas de la FISMA para el año fiscal 2023, la agencia no pudo aportar la documentación correspondiente. La actualización expresa su preocupación porque, sin dicha documentación, es posible que las agencias no reciban financiación suficiente para las iniciativas EDR.
La OMB proporcionó orientación a las agencias en materia de registro, conservación y gestión de registros. No obstante, la OMB no demostró que las agencias dispusieran de recursos suficientes para implementar el registro, su conservación y su gestión.
La actualización incluía recomendaciones específicas sobre medidas ejecutivas para los cinco requisitos restantes, que debían completarse antes del 31 de diciembre de 2024.