La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad Nacional de los Estados Unidos, emitió una orden que ahora otorga a las agencias federales un plazo de 15 días para remediar las vulnerabilidades de nivel crítico que son detectadas en sus sistemas accesibles por Internet por el servicio de escaneo Cyber Hygiene de CISA.
Si las vulnerabilidades no se remedian a tiempo, entonces CISA se pondrá en contacto con esa agencia, la cual tendrá tres días hábiles para explicar las razones detrás del retraso y cuándo se puede esperar una solución utilizando las plantillas proporcionadas por CISA.
“CISA monitoreará el progreso de la agencia federal y contratará a los altos directivos de la agencia, como el Oficial Principal de Seguridad de la Información (CISO), el Oficial Principal de Información (CIO) y el Oficial Principal de Responsabilidad para la Administración de Riesgos (SAORM), según sea necesario y apropiado, cuando la agencia no haya cumplido con las fechas límite de Acción Requerida que se especificaron anteriormente”, indica la directiva. “CISA también hará un seguimiento de la remediación de vulnerabilidades críticas y altas a través de un escaneo de higiene cibernética persistente y validará el cumplimiento de los requisitos de DBO a través de estos informes”.
Además, las agencias también deben mantener informado a CISA cada vez que modifiquen una de sus direcciones IP accesibles a través de Internet o añadan otras nuevas, con el fin de garantizar que el servicio de escaneo Cyber Hygiene de CISA pueda dar cuenta de estas direcciones.
La directiva también detalla las responsabilidades de CISA, que incluyen el suministro de informes y cuadros de mando basados en los resultados del análisis, y la colaboración con las agencias para proporcionar conocimientos técnicos y orientación.
Con información de: SC Magazine.