El Senado aprueba la ley de seguridad cibernética que obliga a las organizaciones a informar sobre ataques cibernéticos y pagos de rescate

El Senado de los EE. UU. aprobó una nueva legislación de seguridad cibernética que obligará a las organizaciones de infraestructura crítica a informar los ataques cibernéticos a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dentro de las 72 horas y los pagos de ransomware dentro de las 24 horas.

La Ley de Fortalecimiento de la Ciberseguridad Estadounidense fue aprobada por consentimiento unánime el martes después de ser presentada el 8 de febrero por los senadores Rob Portman y Gary Peters, miembro de alto rango y presidente del Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado.

La ley combina partes de la Ley de Informes de Incidentes Cibernéticos, la Ley Federal de Modernización de la Seguridad de la Información de 2021 y la Ley Federal de Trabajos y Mejora de la Nube Segura, todas las cuales fueron escritas por Peters y Portman y avanzaron fuera del comité antes de fracasar.

La ley de 200 páginas incluye varias medidas diseñadas para modernizar la postura de seguridad cibernética del gobierno federal, y tanto Peters como Portman dijeron que la legislación era «necesaria con urgencia» a la luz del apoyo de Estados Unidos a Ucrania, que fue invadida por Rusia la semana pasada.

«A medida que nuestra nación continúa apoyando a Ucrania, debemos prepararnos para los ataques cibernéticos de represalia del gobierno ruso… Esta legislación histórica, que ahora ha sido aprobada por el Senado, es un importante paso adelante para garantizar que Estados Unidos pueda luchar contra ciberdelincuentes y adversarios extranjeros que lanzan estos ataques persistentes», dijo Peters.

«Nuestro proyecto de ley bipartidista histórico garantizará que CISA sea la principal agencia gubernamental responsable de ayudar a los operadores de infraestructura crítica y las agencias federales civiles a responder y recuperarse de las principales infracciones de la red y mitigar los impactos operativos de los ataques. Continuaré instando a mis colegas en la Cámara a aprobar esta legislación que se necesita con urgencia para mejorar la ciberseguridad pública y privada a medida que se descubren nuevas vulnerabilidades, y garantizar que el gobierno federal pueda utilizar de forma segura la tecnología basada en la nube para ahorrar dinero a los contribuyentes».

La ley también autoriza el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) durante cinco años para garantizar que las agencias federales puedan «adoptar de forma rápida y segura tecnologías basadas en la nube que mejoren las operaciones y la eficiencia del gobierno». La ley intenta simplificar las leyes de seguridad cibernética del gobierno federal para mejorar la coordinación entre las agencias federales y requiere que todas las agencias civiles informen todos los ataques cibernéticos a CISA.

MarketingyPublicidad.es recomienda

Los mejores servicios VPN

Los mejores servicios VPN

Todos los trabajadores remotos deberían considerar una red privada virtual para mantenerse seguros en línea.

La legislación actualiza el umbral para que las agencias informen incidentes cibernéticos al Congreso y otorga a CISA más autoridad para garantizar que sea la agencia federal líder a cargo de responder a incidentes de seguridad cibernética en redes civiles federales.

Ahora se dirige a la Cámara para una votación antes de llegar al escritorio del presidente Joe Biden. Peters y Portman dijeron que han estado trabajando con la presidenta del Comité de Supervisión de la Cámara, Carolyn Maloney, así como con legisladores republicanos y demócratas en la Cámara para que se apruebe el proyecto de ley.

Maloney le dijo MarketingyPublicidad.es que la ley contiene la Ley Federal de Modernización de la Seguridad de la Información, una disposición que ella llamó una de sus «principales prioridades legislativas».

«El Comité de Supervisión y Reforma inició 2022 con una audiencia bipartidista y un marcado para examinar la mejor manera de abordar la modernización de FISMA, y esperamos incorporar esas lecciones cruciales aprendidas a medida que este esfuerzo avanza en el proceso legislativo», dijo Maloney.

«La reforma de FISMA determinará nuestra postura de seguridad cibernética federal en los próximos años, y es esencial que el proyecto de ley final aproveche todas las oportunidades para defender nuestras redes federales de la avalancha de ataques que enfrentan a diario».

El representante Jim Langevin, copresidente del Cybersecurity Caucus, dijo que lograr que los informes de incidentes, FISMA y FedRamp crucen la línea de meta y lleguen al escritorio del presidente «deberían ser las principales prioridades de este Congreso».

«Mis colegas en la Cámara y yo hemos trabajado arduamente para desarrollar un lenguaje fuerte para lograr estos objetivos, no todos los cuales están incluidos en este proyecto de ley, como la necesidad de codificar el rol de doble sombrero del CISO federal», dijo Langevin. MarketingyPublicidad.es. «Espero aprovechar el progreso de esta semana para aprobar una legislación cibernética sólida en ambas cámaras, para que podamos satisfacer las necesidades urgentes de seguridad cibernética de nuestra nación».

En su propia declaración, Portman también promocionó las formas en que la ley actualizará FISMA y brindará «la responsabilidad necesaria para resolver las debilidades de larga data en la seguridad cibernética federal al aclarar roles y responsabilidades y exigir que el gobierno informe rápidamente al pueblo estadounidense si su información está comprometida».

MarketingyPublicidad.es recomienda

Los mejores dispositivos de almacenamiento conectados a la red

Los mejores dispositivos de almacenamiento conectados a la red

Si los servidores basados ​​en la nube no satisfacen todas sus necesidades de almacenamiento, considere una solución NAS. Seleccionamos un puñado de dispositivos que pasaron nuestras pruebas de tortura de confiabilidad y ofrecen una usabilidad y conjuntos de características superiores.

Ambos senadores señalaron que el proyecto de ley se habría aplicado a los ataques de ransomware de 2021 contra Colonial Pipeline y el procesador global de carne JBS. Pero los dos dijeron que la legislación «ayudaría a garantizar que las entidades de infraestructura crítica, como bancos, redes eléctricas, redes de agua y sistemas de transporte, puedan recuperarse rápidamente y brindar servicios esenciales al pueblo estadounidense en caso de fallas en la red».

El cofundador de CyberSaint, Padriac O’Reilly, trabaja directamente con la infraestructura crítica de los servicios financieros, los servicios públicos y el gobierno para medir el riesgo cibernético.

O’Reilly explicó que el panorama actual de ciberseguridad ha desgastado la obstinación de larga data de ciertos sectores de infraestructura crítica con respecto a la ventana de notificación de incidentes de 72 horas.

«Hay dos secciones muy profundas en la legislación que me llaman la atención. Se refieren a un análisis de riesgos basado en el presupuesto para mejorar la seguridad cibernética y un enfoque de la ciberseguridad basado en métricas en general. Esto es precisamente lo que se necesita y se ha conocido por algún tiempo en la industria», dijo O’Reilly.

«La Sección 115 cubre los informes de automatización. Esto es muy oportuno ya que la automatización ha estado avanzando en el sector privado y es clave con respecto a la gestión de riesgos en el futuro. Me impresionó mucho ver esto en el proyecto de ley. El gobierno lo ha intentado durante años para promover esta causa en todas las agencias y departamentos. La Sección 119 realmente llega al santo grial en la gestión de riesgos, que es la capacidad de ver los riesgos de seguridad cibernética de una manera priorizada con respecto al presupuesto».

Deja un comentario