Noticias

Orden ejecutiva de Trump actualiza y estandariza el estado de la ciberseguridad de las agencias gubernamentales de EE.UU.

El presidente de estados Unidos, Donald Trump, ha firmado una orden ejecutiva que otorga al poder ejecutivo más control sobre los asuntos de seguridad informática del país y obliga a sus agencias federales a hacer una revisión completa del estado de su seguridad en los próximos 90 días.

Se tenía planeado lanzar la orden ejecutiva a finales de enero, pero se pospuso para pulir los detalles del documento. La orden tiene tres propósitos establecidos: proteger las redes federales, la infraestructura crítica y al público de Internet.

La orden está impulsando cambios urgentes para reforzar la seguridad de las agencias gubernamentales estadounidenses, que han sido blanco frecuente de ataques informáticos y robo de datos, poniendo así en riesgo secretos que el gobierno considera clave para la seguridad nacional. Los jefes de las agencias federales están obligados a implementar un nuevo marco de protección desarrollado por el Instituto Nacional de Estándares y Tecnología para evaluar el riesgo que corre su institución. Durante los próximos 90 días, las agencias deben evaluar el estado actual de sus sistemas de acuerdo a estos nuevos parámetros y elaborar un informe explicando qué cambios harán para proteger sus sistemas.

El marco fue desarrollado por expertos en informática combinando esfuerzos del sector público y privado, y se define como “un lenguaje común para comprender, administrar y expresar los riesgos de seguridad tanto de forma interna como externa”.

Otro cambio importante es que, hasta ahora, el equipo de informática era el que se llevaba la culpa cuando ocurría cualquier incidente de seguridad que pudiera afectar a la agencia. Sin embargo, el nuevo documento considera responsables a los jefes de cada agencia. “Que la responsabilidad sea de los jefes de agencias y departamentos es una medida clave”, dijo Steve Grobman, de la empresa de seguridad McAfee. “No hay ninguna diferencia entre esto y la forma de manejarse de las compañías en que, aunque el Director Ejecutivo no sea experto en seguridad, tiene la responsabilidad final de implementar un plan de seguridad informática que mitigue los riesgos del negocio”.

Estas nuevas medidas de estandarización vienen acompañadas de esfuerzos por unir a las agencias en un lugar común. “Debemos movernos a la nube para protegernos en vez de fracturar nuestras posturas de seguridad”, explicó Tom Bossert, Asesor de Seguridad Nacional del gobierno de Trump. “Si no nos movemos a servicios compartidos, tenemos 190 agencias que están tratando de desarrollar sus propias defensas cada cual por su lado”, agregó.

El documento también aborda temas de protección cibernética de infraestructuras críticas como plantas de energía y el sector financiero, que a pesar de que no siempre son dependientes del gobierno, su funcionamiento eficiente y seguro es primordial para el bienestar de sus ciudadanos.

Por último, la orden aborda el problema de la falta de expertos en seguridad informática en los Estados Unidos. La orden ejecutiva exige a las agencias gubernamentales y sus jefes que “evalúen en conjunto si están haciendo suficientes esfuerzos para educar y entrenar a las fuerzas de trabajo estadounidenses de ciberseguridad para el futuro, facilitando la educación para la seguridad informática con talleres, prácticas profesionales y pasantías que incluyan a un público desde la primaria hasta la educación superior”.

Fuentes

Quartz

Reuters

Cnet News

Orden ejecutiva de Trump actualiza y estandariza el estado de la ciberseguridad de las agencias gubernamentales de EE.UU.

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada