El nuevo enfoque cibernético de Washington eleva el listón para los profesionales de TI en todas las cadenas de suministro



A raíz de los grandes ataques cibernéticos a las empresas estadounidenses, los profesionales de TI de todo el país están levantando banderas rojas y preguntando colectivamente qué más pueden hacer para protegerse a sí mismos y a los datos de sus clientes. A nivel nacional, los recientes ataques de ransomware y la cadena de suministro han impulsado la acción ejecutiva del presidente Biden y las agencias federales en múltiples formas, incluida la orientación para los profesionales de TI, proveedores de servicios administrados específicamente (MSP), sobre la mejor manera de proteger sus redes de TI y protegerse contra ciberatacantes. Estos eventos desestabilizadores y alarmantes han renovado el enfoque de Washington en la seguridad cibernética, y hay razones para creer que más acciones obligarán a los profesionales de TI a mejorar o quedarse atrás.

Tres señales de una mayor aplicación de la seguridad cibernética para TI
Si bien el estancamiento legislativo podría retrasar las regulaciones nacionales de seguridad cibernética de gran alcance, las acciones a nivel federal y estatal tienen una mayor probabilidad de afectar a los profesionales de TI y MSP en el corto plazo. El movimiento en estas dos áreas ha aumentado recientemente y no muestra signos de desaceleración.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) lanzó recientemente un nuevo Detener el ransomware programa para compartir recursos, conocimientos y mejores prácticas. Un recurso que la agencia compartió es un Evaluación de la preparación del ransomware para ayudar a las organizaciones a identificar puntos débiles en sus defensas y adherirse mejor a los estándares federales de ciberseguridad. Esta mayor conciencia pública seguramente ayudará a algunas organizaciones a adoptar controles de seguridad más estrictos, pero sin un mandato que establezca una línea de base para la seguridad entre las empresas y los proveedores de servicios de TI, muchas no cambiarán.

El gobierno federal está tratando de establecer esa línea de foundation a través de nuevos requisitos para contratistas como los introducidos por el Certificación del modelo de madurez en ciberseguridad (CMMC) para el Departamento de Defensa (DoD). Según el CMMC, los contratistas y subcontratistas deben cumplir con un nivel mínimo de cumplimiento de seguridad para ganar un contrato. Los efectos posteriores de asegurar el Departamento de Defensa podrían traer mejoras de seguridad muy necesarias para cientos de empresas que pueden eliminarse algunos niveles, pero que en última instancia siguen siendo parte de la cadena de suministro del Departamento de Defensa. Si bien el CMMC aún se está refinando, es plausible que se requieran certificaciones de seguridad cibernética nuevas o adicionales para los contratistas y subcontratistas que trabajan con otras agencias federales. Cualquier MSP o profesional de TI que trabaje en contratos locales, estatales o federales o junto a ellos debe prestar mucha atención a esta área y trabajar de manera proactiva para abordar los posibles requisitos de ciberseguridad.

La acción legislativa a nivel estatal también está sobre la mesa después Luisiana aprobó una ley histórica estableciendo el primer registro de MSP en el país. Después de graves incidentes de ransomware que acabaron con las principales ciudades, la legislatura de Luisiana actuó para hacer cumplir la supervisión y mejorar los servicios de ciberseguridad que se ofrecen a las agencias estatales. Después de una serie de incidentes cibernéticos y ataques de ransomware en otros estados que han interrumpido la vida pública, parece probable que existan más posibilidades de un mayor escrutinio y supervisión de la industria de la MSP.

Cómo están respondiendo los profesionales de TI a estos cambios
Como medio para hacer frente a un posible mosaico de legislación que dificulta la prestación de servicios gestionados, muchos MSP se están intensificando y tratando de liderar las conversaciones sobre el futuro de su industria. Karl Palachuk, una figura muy conocida en el espacio MSP que popularizó el modelo de negocio, estableció recientemente el Sociedad Nacional de Proveedores de Servicios de TI (ITSP) como un vehículo para promover las regulaciones de MSP en los estados de los EE. UU. los proyecto de ley desarrollado por ITSP y Palachuk ofrece un camino sencillo para las regulaciones de MSP y está diseñado para elevar y profesionalizar a los proveedores de servicios de TI. Desde establecer registros de MSP que trabajan con agencias estatales hasta exigir la divulgación de ataques cibernéticos, es noteworthy que la industria de servicios de TI esté reconociendo que se necesita cierto nivel de supervisión pública.

En lugar de luchar contra la marea de estándares de seguridad más altos, los MSP y los profesionales de TI deben seguir el ejemplo de organizaciones como ITSP y comenzar a participar activamente en su propio destino. Dado que los ataques cibernéticos recientes que involucran a SolarWinds y Kaseya, la revisión activa de las herramientas de gestión y monitoreo remoto y la identificación de las fuentes de deuda tecnológica de TI deben ser una prioridad para los MSP y los profesionales de TI, junto con la gestión adecuada de parches y el uso de la automatización para abordar los frutos que están al alcance de la mano. El siguiente paso debería ser implementar un marco de ciberseguridad, como los que ofrece el Instituto Nacional de Estándares y Tecnología (NIST). Al seguir estos marcos, las organizaciones probablemente puedan cumplir con los requisitos de nuevas regulaciones potenciales que elevan los estándares de seguridad cibernética.

El creciente número de ransomware ha obligado a la administración de Biden a tomar medidas rápidas para asegurar las defensas cibernéticas de la nación. Al llevar el problema al frente y al centro del escenario nacional e internacional, los proveedores de servicios de TI y los profesionales deben contar con una supervisión y reglas más estrictas. Ahora es el momento de priorizar la modernización de la seguridad y la TI que permite que las organizaciones prosperen.



Enlace a la noticia primary