CISA publica un catálogo de malas prácticas de seguridad



Las organizaciones a menudo se enfocan en promover las mejores prácticas, dice CISA, pero detener las malas prácticas de seguridad es igualmente importante.

La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA) está creando un catálogo de prácticas de seguridad deficientes que aumentan el riesgo para las organizaciones, especialmente aquellas que apoyan la infraestructura crítica designada o lo que llama Funciones Críticas Nacionales (NCF).

Los profesionales de la seguridad, incluido el equipo de CISA, a menudo se enfocan en promover las mejores prácticas que deben tomar, escribió Eric Goldstein, director asistente ejecutivo de CISA, en una publicación de website sobre las noticias. Es igualmente importante, continuó, que también se centren en detener las malas prácticas de seguridad.

Estas prácticas tecnológicas arriesgadas y peligrosas son «aceptadas con demasiada frecuencia debido a prioridades en competencia, falta de incentivos o limitaciones de recursos que impiden tomar decisiones acertadas en la gestión de riesgos, pero dan como resultado riesgos insostenibles para nuestra seguridad nacional, economía, infraestructura crítica y seguridad pública», Goldstein. explicado.

Poner fin a los riesgos de seguridad más amenazadores de las empresas requiere que las organizaciones hagan un esfuerzo para detener las malas prácticas. Si bien no sustituye la implementación de sólidas prácticas de seguridad, dijo, proporciona un marco para priorizar los pasos de seguridad que deberían tomar.

CISA tiene creó una página donde enumerará estas malas prácticas a medida que se agreguen al catálogo.

La primera práctica en su lista es el uso de computer software sin soporte o al ultimate de su vida útil en el servicio de infraestructura crítica y NCF, que dice es peligroso y «eleva significativamente el riesgo» para la seguridad nacional, la seguridad económica nacional y la salud pública nacional. y seguridad. Esta práctica es particularmente atroz en las tecnologías de acceso a Web, escribieron los funcionarios.

En segundo lugar, está el uso de contraseñas y credenciales conocidas, fijas y predeterminadas en el servicio de infraestructura crítica y NCF, lo que, según dice, también es peligroso y aumenta el riesgo para la seguridad nacional, la seguridad económica nacional y la salud y seguridad públicas nacionales. Al igual que la primera práctica, también es especialmente peligroso en tecnologías accesibles a Web, informan.

CISA señala que si bien estas prácticas son riesgosas para la infraestructura crítica y los NCF, aconseja a todas las organizaciones que sigan los pasos y las conversaciones necesarias para abordar y eliminar las malas prácticas. También reconoce que su lista está enfocada – si bien esto no incluye todas las posibles malas prácticas, la falta de inclusión de prácticas particulares no significa que CISA la respalde o crea que tiene un nivel de riesgo aceptable.

«El principio de &#39centrarse en los pocos críticos&#39 es un elemento basic de la gestión de riesgos», Goldstein escribió en su publicación de blog. «Con foundation en el entendimiento de que las organizaciones tienen recursos limitados para identificar y mitigar todos los riesgos, también debería ser un elemento esencial del enfoque estratégico de seguridad de toda organización.

Este es el último de una serie de medidas que CISA ha tomado en los últimos meses para ayudar a los defensores con información y herramientas. A principios de este año, la agencia amplió su cartera de herramientas de seguridad de código abierto y scripts de administración en su biblioteca de código abierto. Este mes, CISA inteligencia compartida con respecto al aumento de las amenazas de ransomware dirigidas a la infraestructura crítica y al aumento de las amenazas a los activos de tecnología operativa y los sistemas de handle. Los funcionarios también han sido consistentes en advertir a los profesionales de la seguridad sobre amenazas continuas y publicar vulnerabilidades avisos.

Kelly Sheridan es la editora de personalized de Dark Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original