Cómo los nuevos requisitos federales de ciberseguridad afectan el panorama relacionado con el compliance de la nube del sector privado

by Rackspace Technology Staff

A hand with a pen writing a legal document with a gavel on the desk

Existe una razón por la que el aumento de los ataques de ransomware no ha afectado directamente a las agencias gubernamentales federales de los EE. UU. Los requisitos de ciberseguridad del gobierno federal se encuentran entre los más estrictos del mundo.

Hasta este año, el gobierno federal les ha exigido a todas las organizaciones que trabajan con agencias gubernamentales que cumplan con sus minuciosas pautas de ciberseguridad. Muchas organizaciones del sector privado también estarán sujetas a los mismos estándares estrictos, en particular, las organizaciones que trabajan dentro de la cadena de suministro del país.

El año pasado, el compliance y la seguridad en la nube cobraron una nueva urgencia cuando el presidente Joe Biden firmó el decreto ejecutivo (DE) 14028, titulado “Mejorar la ciberseguridad del país”. El decreto ejecutivo se creó para brindar soporte a la postura con respecto a la ciberseguridad del país, y proteger la infraestructura crítica y las redes del gobierno federal que sustentan la forma de vida y la economía del país.

La misión de fortalecer la ciberseguridad de EE. UU. ha llegado a una etapa crítica, porque un punto débil en la cadena de suministro puede alterar la seguridad del país de diferentes maneras. Por ejemplo, el ataque cibernético a SolarWinds se infiltró en varias agencias gubernamentales, incluida la Casa Blanca. El DE 14028 tiene por objeto superar puntos débiles como este.

Un panorama de ciberseguridad más robusto beneficiará a las organizaciones individuales, a sus socios y al país. Sin embargo, lograrlo será un desafío importante para las organizaciones del sector privado que no estén familiarizadas con el sector.

 

Lo que se necesita para cumplir con los requisitos federales de ciberseguridad

Según el DE 14028, “Proteger a nuestro país contra los agentes maliciosos cibernéticos requiere que el gobierno federal se asocie con el sector privado. El sector privado debe adaptarse al ambiente de amenazas en constante cambio, garantizar que sus productos se desarrollen y funcionen de forma segura y asociarse con el gobierno federal para fomentar un ciberespacio más seguro”.

El DE 14028 establece un marco para desarrollar y mejorar los protocolos de seguridad actuales y las prácticas recomendadas, y requiere que las organizaciones del sector privado que trabajan dentro de la cadena de suministro cumplan con sus estándares de seguridad. Cumplir con sus estándares significa cumplir con miles de requisitos de casi una docena de organizaciones normativas en el área de la ciberseguridad, como NIST, FedRAMP, HIPPA, DoD, HITRUST CSF y FISMA.

Uno de los nuevos requisitos que deben cumplir los programadores de software en el sector privado es ser más transparentes con respecto a sus productos y aplicar controles más estrictos. El DE 14028 establece que el sector privado debe adaptarse a las amenazas en constante cambio, garantizar que sus productos se desarrollen y funcionen de forma segura y asociarse con el gobierno federal para fomentar un ciberespacio más seguro. Por ejemplo, algunos de los muchos requisitos del nuevo decreto ejecutivo son los siguientes:

  • Los proveedores de servicios deben notificar todos los incidentes cibernéticos y la información sobre amenazas que afecten a las redes gubernamentales.
  • Los programadores de software deben proteger los servicios en la nube, implementar una arquitectura con el enfoque de confianza cero y exigir la autenticación multifactor y la implementación de codificación dentro de un período específico.
  • Las organizaciones deben implementar estándares de seguridad básicos para desarrollar el software que compra el gobierno, lo que incluye brindar una mayor visibilidad del software y de los datos de seguridad públicamente disponibles.

Cumplir con los estándares de ciberseguridad del gobierno federal puede ser un proyecto de varias etapas y de muchos años que implicaría millones de dólares. Para ilustrar la complejidad involucrada, completar solo un criterio de los requisitos del FedRAMP (como la autenticación basada en contraseña) requiere que las empresas cumplan con los siguientes lineamientos:

  • Complejidad mínima para la contraseña, recuento de caracteres y uso de mayúsculas y minúsculas
  • Cantidad mínima de caracteres modificados al crear contraseñas nuevas
  • Protección criptográfica para todas las contraseñas que se almacenan y transmiten
  • Restricciones mínimas y máximas de contraseñas de por vida
  • Restricciones en cuanto a la reutilización de contraseñas

 

Rackspace Technology® ya cumple con las normas federales

“Rackspace Technology ha brindado compliance y seguridad en la nube a agencias gubernamentales y empresas que trabajan con el gobierno hace más de 20 años”, dijo Alysia Ford, gerenta de productos IV, Servicios Gubernamentales de EE. UU. “Hemos ayudado a las agencias y organizaciones a cumplir con las rigurosas pautas del gobierno federal y a resolver los desafíos de seguridad del mundo real. Ahora las empresas públicas pueden aprovechar nuestras capacidades aprobadas por el gobierno desde hace mucho tiempo para desarrollar su programa de compliance y ciberseguridad aprobado por el gobierno federal, lo que ahorra años de trabajo y reduce de manera significativa el costo”.

“Rackspace Technology es uno de los principales proveedores de seguridad en la nube y compliance con credenciales aprobadas por el gobierno federal”, dijo Jeffrey Tehovnik, ingeniero de productos de Soluciones Gubernamentales. “Por ejemplo, hemos conseguido y mantenido la autorización de JAB y de nivel moderado del FedRAMP durante más de seis años, lo que incluye 17 autorizaciones de agencias. Solo otras 255 soluciones en la nube están autorizadas por el FedRAMP y solo 197 están autorizadas a nivel moderado por el FedRAMP. Además, 20 agencias gubernamentales federales de EE. UU. revisaron nuestros servicios de plataforma de ciberseguridad y los han autorizado para uso gubernamental”.

En la actualidad, Rackspace Technology brinda soporte a más de 40 clientes en la cadena de suministro del gobierno, ofreciendo ambientes de alta seguridad y que cumplen con las normas.

Entre las capacidades de compliance y seguridad en la nube aprobadas a nivel federal que las soluciones de Rackspace para el sector gubernamental pueden ofrecerles a las organizaciones del sector privado para ayudarlas a cumplir con el DE 14028 a nivel federal, se encuentran las siguientes:

  • Evaluar el estado actual de la organización y desarrollar una estrategia y hoja de ruta para cumplir con las nuevas directivas.
  • Transferir sus propios “controles hereditarios” aprobados por el gobierno federal para el compliance de la ciberseguridad a la organización.
  • Complementar el equipo de ciberseguridad de la organización con un equipo flexible de expertos que pueda brindar soporte continuo.

Obtenga más información acerca de lo que su organización necesitará para cumplir con los nuevos requisitos del gobierno federal.

Hable hoy mismo con un especialista en compliance y seguridad gubernamental