La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) propone requisitos de seguridad para evitar que los estados adversarios accedan a datos personales de EE. UU., así como a información relacionada con el gobierno.
Los requisitos están dirigidos a entidades que participan en transacciones restringidas que involucran datos personales sensibles de EE. UU. en masa o datos relacionados con el gobierno de EE. UU., particularmente si la información está expuesta a “países de interés” o “personas cubiertas”.
La propuesta está vinculada a la implementación de Orden Ejecutiva 14117firmado por el presidente Biden a principios de este año, tenía como objetivo abordar graves responsabilidades de seguridad de datos que amplían o amplifican los riesgos de seguridad nacional.
Las organizaciones afectadas pueden incluir empresas de tecnología como desarrolladores de inteligencia artificial y proveedores de servicios en la nube, empresas de telecomunicaciones, organizaciones de salud y biotecnología, instituciones financieras y contratistas de defensa.
Los países de preocupación generalmente se refieren a países que el gobierno de EE. UU. considera antagónicos o que representan un riesgo para la seguridad debido a un historial de ciberespionaje, violaciones de datos y campañas de piratería patrocinadas por el estado.
Requisitos de seguridad
LPCC ofrece medidas de seguridad categorizados en requisitos a nivel de organización/sistema y requisitos a nivel de datos. A continuación se muestra un resumen de algunos de ellos:
- Mantener y actualizar un inventario de activos mensualmente, con direcciones IP y direcciones MAC de hardware.
- Repare las vulnerabilidades explotadas conocidas en un plazo de 14 días
- Repare las vulnerabilidades críticas (cuyo estado operativo se desconoce) en un plazo de 15 días y las vulnerabilidades de alta gravedad en un plazo de 30 días.
- Mantener una topología de red precisa para facilitar la identificación y respuesta a incidentes.
- Aplique la autenticación multifactor (MFA) en todos los sistemas críticos, exija contraseñas de al menos 16 caracteres y revoque el acceso a cualquier individuo inmediatamente después de la terminación del empleo o cambio de rol en la organización.
- Evite la conexión de hardware no autorizado, como dispositivos USB, a sistemas cubiertos
- Recopile registros de acceso y eventos de seguridad (IDS/IPS, firewall, prevención de pérdida de datos, VPN, eventos de conexión)
- Reducir la cantidad de datos recopilados o enmascararlos para evitar el acceso no autorizado o la posibilidad de vincularlos con personas estadounidenses, y aplicar cifrado para proteger los datos cubiertos durante transacciones restringidas.
- No almacene claves de cifrado con datos cubiertos o en un país de preocupación
- Aplicar técnicas como el cifrado homomórfico o la privacidad diferencial para evitar la reconstrucción de datos sensibles a partir de datos procesados.
CISA está buscando la opinión del público para desarrollar aún más la propuesta hasta su forma final. Quienes estén interesados pueden visita regulaciones.govingrese CISA-2024-0029 en el cuadro de búsqueda, haga clic en “¡Comentar ahora!” », luego ingrese sus comentarios en los campos.