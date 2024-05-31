Recientemente, la Oficina de Responsabilidad del Gobierno de los Estados Unidos emitió una actualización sobre el progreso de la Orden Ejecutiva 14028, Mejorando la ciberseguridad nacional.
En 2021, la Casa Blanca identificó 55 requisitos de liderazgo y supervisión que debían cumplirse para mejorar la ciberseguridad en los sistemas federales de TI, y todos los sistemas debían cumplir o superar el estándar descrito. La Orden Ejecutiva (14028) sobre la mejora de la ciberseguridad de la nación explicó los motivos del requisito, afirmando que "la prevención, detección, evaluación y corrección de incidentes cibernéticos es una prioridad máxima y esencial para la seguridad nacional y económica".
Además, la orden ejecutiva (EO) decía que completarlos era esencial porque el gobierno debería dar el ejemplo para alentar al sector privado a reducir también el riesgo de violaciones de seguridad cibernética y ataques.
La EO designó a las agencias responsables de implementar los requisitos: la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional, el Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. y la Oficina de Administración y Presupuesto (OMB).
Los requisitos clave de esta orden se centraron en soluciones de ciberseguridad que incluyen:
La actualización de abril de 2024 informó que las tres agencias responsables completaron 49 de los requisitos. Se determinó que el requisito de estandarizar el playbook para responder a las vulnerabilidades e incidentes de ciberseguridad no era aplicable. Además, las agencias han completado parcialmente los cinco requisitos restantes.
De los requisitos clave, la modernización de la ciberseguridad del gobierno federal es el único que se cumple por completo. Las iniciativas en ese ámbito incluyeron la implementación o el inicio de la implementación de una arquitectura de confianza cero para las agencias federales, la protección de los servicios en la nube y la centralización del acceso a los datos de ciberseguridad.
Otras iniciativas incluyeron abordar los datos no clasificados, avanzar en la implementación de autenticación multifactor y cifrado y desarrollar documentación sobre la arquitectura técnica de seguridad en la nube.
Si bien la actualización elogió a las agencias por sus esfuerzos para mejorar la ciberseguridad federal, la conclusión enfatizó la importancia de completar los requisitos restantes.
Los cinco requisitos restantes son:
Si bien la OMB incorporó parcialmente un análisis de costos en el proceso presupuestario anual, no proporcionó evidencia de los detalles sobre la implementación de todos los requisitos de liderazgo y supervisión en la orden.
La CISA y la OMB ayudaron al NIST a establecer los criterios y directrices para las medidas de seguridad de software exigidas por el gobierno federal. CISA, OMB y NIST también crearon una definición de software crítico y una lista preliminar de categorías comunes de software que son consistentes con esa definición. Sin embargo, CISA no emitió la lista de categorías comunes de software antes de la fecha límite de septiembre de 2023.
CISA no ha proporcionado evidencia de los pasos tomados para mejorar las operaciones a través de recomendaciones para mejorar las operaciones futuras. La actualización establece que este paso es clave para permitir que la junta realice de manera efectiva sus futuras revisiones de incidentes.
Aunque OMB informó que había incorporado la detección y respuesta de endpoints (EDR) dentro de su orientación a las agencias para las presentaciones presupuestarias e incluyó EDR en la lista de métricas FISMA en el año fiscal 2023, la agencia no pudo proporcionar pruebas de la documentación. La actualización comparte la preocupación de que, sin la prueba, es posible que las agencias no reciban fondos suficientes para las iniciativas de EDR.
La OMB brindó orientación a las agencias con respecto al registro, como la retención y la gestión de registros. Sin embargo, OMB no demostró que las agencias tuvieran suficientes recursos para implementar el registro, la retención de registros o la administración de registros.
La actualización hizo recomendaciones específicas de acción ejecutiva para los cinco requisitos restantes que se completarán antes del 31 de diciembre de 2024.