Análisis de la nueva Orden de Ciberseguridad de Biden
A principios de esta semana, la Administración Biden emitió una Orden Ejecutiva (OE) "Executive Order on Improving the Nation’s Cybersecurity" para fortalecer la ciberseguridad del gobierno de EE.UU. y la supervisión de la "cadena de suministro de software" más que involucra a los contratistas del gobierno. Los auditores de TI, los administradores de riesgos, los oficiales de privacidad y los profesionales de cumplimiento relacionados deben prepararse ahora para lo que vendrá pronto.
La OE es una respuesta inmediata al ataque de ransomware contra Colonial Pipelines, por lo que podría parecer que se está haciendo algo rápido; pero en realidad la orden es mucho más una respuesta a la violación de seguridad de SolarWinds en diciembre pasado, que demostró cuán vulnerable es la cadena de suministro de software.
Las empresas que deben prestar más atención aquí son los contratistas gubernamentales y, especialmente, los contratistas de tecnología que brindan servicios de TI a través de la nube. Esos llamados "proveedores de servicios en la nube" han tenido que cumplir durante mucho tiempo con ciertos estándares de ciberseguridad desarrollados por el programa FedRAMP.
La OE no afecta directamente al sector privado, pero grandes esfuerzos transformadores como este conducirán a un cambio mucho más allá del gobierno para los proveedores de seguridad y las organizaciones privadas. La naturaleza rígida de los procesos de adquisición gubernamentales también proporcionan una línea de base que otras organizaciones empresariales utilizan para ayudarlas a codificar y estandarizar los requisitos. Esta Orden Ejecutiva se expandirá drásticamente más allá del gobierno a medida que las organizaciones empresariales la busquen en busca de orientación.
Los cambios importantes en la contratación pública como este crean incentivos comerciales dada la cantidad de dinero que gasta el gobierno. Las estimaciones basadas en las solicitudes presupuestarias de las agencias de EE.UU. sitúan el gasto federal en ciberseguridad por encima de los 18.000 millones de dólares. Por ejemplo, desde diciembre de 2020, solo la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha recibido U$S 2,6 mil millones.
Mientras, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) han publicado el informe Alert (AA21-131A) sobre forma de prevención del ransomware y extensa documentación al respecto.
¿Cuáles son los puntos principales de esta Orden Ejecutiva?
Mejor intercambio de información sobre amenazas
Se ordena a varias agencias federales que aclaren el lenguaje en los contratos gubernamentales, que todos los contratistas deben preservar los datos relacionados con las violaciones de seguridad, compartir esos datos con los federales y cooperar con cualquier investigación posterior.
Ciberseguridad más sólida dentro del gobierno
La Orden también insta a las agencias del gobierno federal que adopten dos principios de ciberseguridad lo más ampliamente posible: arquitectura de confianza cero y autenticación multifactor.
La autenticación multifactor MFA ya es relativamente conocida: el acceso a datos confidenciales depende de algo que sepa (una contraseña e ID de usuario), además de algo que tenga (un teléfono celular, llavero o dispositivo similar). Así que inicia sesión en el sistema y el sistema envía un código de seguridad único a su teléfono que también debe ingresar. La Orden dice que "la autenticación multifactor debería adoptarse mucho más ampliamente".
La arquitectura de confianza cero es un tipo de diseño de red relativamente nuevo, en el que los usuarios de una red corporativa se enfrentan a desafíos con mucha más frecuencia: el sistema tiene "confianza cero" en quién dice ser. Es un desafío más técnico, principalmente para su equipo de seguridad de TI. Zero Trust funciona y ahora, el gobierno federal de los Estados Unidos ha validado, confirmado y exigido Zero Trust.
Esta parte de la orden también especifica que el gobierno federal debe seguir adoptando proveedores de servicios en la nube, porque los CSP a menudo son mejores para proteger sus sistemas que el usuario final. Pero si es un CSP, recuerde: deberá adoptar la arquitectura de confianza cero y la autenticación multifactor también.
Supervisión más estricta de la cadena de suministro de software
Esta sección de la Orden está destinada a regir cómo se desarrolla y se proporciona el software a los clientes. Esa fue la debilidad del ataque SolarWinds: los agentes rusos penetraron SolarWinds e implantaron malware en sus productos de software, que luego se enviaron a agencias gubernamentales y clientes corporativos a través de una actualización de software "de rutina". El hecho de que las empresas se tomen o no el tiempo para "asegurar lo que vende" es una causa fundamental recurrente de infracciones y pérdida de datos, con problemas recientes que aceleran la firma de esta Orden.
La orden ordena al NIST que elabore nuevas pautas para un desarrollo de software mejor y más seguro. Eso se traducirá en pasos como:
- Control más estricto sobre los "entornos de construcción" que utilizan los desarrolladores para escribir software
- Más autenticación multifactor y otros controles de acceso
- Más cifrado y monitoreo de datos
- Más documentación sobre la procedencia de su código (por ejemplo, ¿se tomó un fragmento de código de fuente abierta de Internet?)
- Más control interno sobre el código de terceros
- Más auditorías para confirmar que sus controles son efectivos
Otros puntos de la OE
Esta OE pretende modernizar las defensas pero sobre todo poner el foco en un problema que todavía, a pesar de la gravedad de la situación, puede mitigarse. Fundamentalmente, la orden pretende que se comparta más información entre el gobierno y el sector privado y mejorar la habilidad de respuesta. Los puntos acción básicos son:
- Permite a las compañías privadas (en especial los que alojan servidores) compartir información con el gobierno. Esto agilizará el proceso de investigación cuando ocurran incidentes relacionados con algún acceso a un servidor. Tienen un tiempo máximo para comunicar esos incidentes también.
- Mejorar y adoptar los estándares de ciberseguridad en el gobierno federal. Se trata de un compromiso (a alto nivel aunque se mencionan tecnologías concretas) para adoptar los mejores estándares (2FA, criptografía, SDLC,…) desde las propias infraestructuras del gobierno.
- Mejorar las cadenas de suministro, como ha demostrado el ataque SolarWinds. El software que se venda al gobierno deberá cumplir requisitos de seguridad mínimos. Se tendrá una especie de certificado que lo acredita, similar al de la energía o emisiones.
- Una junta o comisión de revisión de ciberseguridad privada y pública. Cuando ocurra un accidente, se gestionará y sacarán conclusiones de manera coordinada. Esta comisión está inspirada en la que ya tiene la aeronáutica, en la que el sector privado y público se reúne después de grandes incidentes aéreos.
- Se creará un sistema estándar de respuesta a incidentes tanto interno como externo. Las compañías ya no tendrán que esperar a que ocurra algo para saber qué es necesario hacer.
- Mejorar la capacidad de defensa de la red federal. Quizás la medida más genérica, que apunta a reforzar con las herramientas de ciberseguridad adecuadas, toda la infraestructura gubernamental.
- Mejorar la capacidad de remediación e investigación. Quizás esto se resume fundamentalmente en mejorar los sistemas de logs.
¿Cómo afecta esto al cumplimiento?
Esto podría afectar el cumplimiento de muchas maneras. Ante todo, estas propuestas son cambios en la práctica de la ciberseguridad que, en consecuencia, podrían cambiar sus riesgos de cumplimiento, y deberá anticipar eso, en lugar de ser sorprendido con los pies desprevenidos.
La Orden también remarca las obligaciones de privacidad de datos o el ataque podría terminar remitido al Departamento de Justicia para el procesamiento penal de los atacantes; eso podría plantear otros problemas sobre la privacidad de los datos o incluso un litigio civil.
La sección sobre una mejor gobernanza de la cadena de suministro de software podría significar nuevas políticas y procedimientos para los empleados, nuevos modelos de capacitación y nuevas pruebas para realizar. Definitivamente significará más documentación que se deberá recopilar.
La conclusión es que esta orden ejecutiva podría forzar cambios operativos sustanciales en el negocio, y esos cambios podrían alterar los riesgos de cumplimiento normativo. Por lo tanto, los oficiales de cumplimiento deberían comenzar a pensar ahora en cómo adelantarse a ese desafío.
Si queremos adoptar una arquitectura de confianza cero y autenticación multifactor, eso podría requerir un cambio significativo en los controles de acceso de los usuarios o los controles generales de TI. Esos cambios deberán diseñarse y probarse. Lo mismo ocurre con todos esos puntos sobre un mayor control sobre el desarrollo de software.
Las funciones de auditoría deberán asegurarse de tener la experiencia relevante para realizar ese trabajo.
Y toda esta mayor atención a la ciberseguridad se produce en medio de los ataques actuales y de la atención preexistente, es posible que a esté rediseño de controles o procesos para satisfacer los requisitos de FedRAMP o DFARS (Defense Federal Acquisition Rule Supplement), se deban agregar los controles para el cumplimiento de HIPAA o PCI-DSS.
¿Se puede hacer todo eso?
Seguro, pero con toda probabilidad, se necesitará tecnología sofisticada para el mapeo de datos, mapeo de control, remediación, alertas para remediación que no está sucediendo de manera oportuna y documentación.
El único punto brillante aquí es que el imperativo de una mejor ciberseguridad es claro y convincente, por lo que el directorio no deberían necesitar demasiada persuasión para prestar atención a esto.
Los contratos gubernamentales dependerán de la ciberseguridad. Eso era cierto incluso antes de que Colonial Pipelines cerrara el servicio de gas a la mitad de EE.UU. Es aún más cierto ahora.
Fuente: SeguInfo
Comentarios
Publicar un comentario