En los últimos años, un informe tras otro ha destacado cómo los ciberdelincuentes no han logrado acceder a todo, desde información personal hasta datos de investigación y otra propiedad intelectual. Los informes indican que los piratas informáticos atención médica dirigida desde 2014. Rusia es sospechosa de un serie de ciberataques durante COVID-19 pandemia, y el Departamento de Salud y Servicios Humanos de EE. UU. informó que había 642 centros de atención médica Filtración de datos en 2020, divulgación de más de 27 millones de registros de pacientes. Estos incidentes ponen de relieve la amenaza constante Ataques ciberneticos y la necesidad de mayores medidas de seguridad para proteger los datos confidenciales.
3 pasos que las empresas pueden tomar para prepararse para una propuesta de estrategia nacional de seguridad cibernética
- Cree un programa de ciberseguridad utilizando un marco de ciberseguridad comúnmente aceptado.
- Implemente controles de privacidad de datos utilizando las pautas de GDPR y CCPA.
- Implemente las mejores prácticas fundamentales de ciberseguridad, como el cifrado en reposo, IDS/IPS, escaneo de vulnerabilidades regular, pruebas de penetración anuales y más.
La administración Biden hizo la seguridad cibernética una prioridad clara. Si bien cada administración desde 2008 ha emitió decretos presidenciales En cuanto a la ciberseguridad, la estrategia actual es la primera en proponer mandatos para proteger los datos y responsabilizar a las organizaciones por no implementar controles de ciberseguridad.
Esta estrategia tiene importantes connotaciones para negocio SaaS e influye en los pasos que toman para mejorar su postura de seguridad.
Lo que necesita saber sobre la estrategia de ciberseguridad propuesta
Propuesto por la administración Biden-Harris estrategia nacional de ciberseguridad tiene como objetivo cerrar la brecha actual entre los estándares de cumplimiento y las regulaciones gubernamentales. Muchas organizaciones privadas cumplen marco de seguridad cibernética como SOC 2 e ISO 27001, que requieren controles de seguridad preventivos como monitoreo continuo y evaluaciones periódicas de vulnerabilidad. Sin embargo, estos marcos son opcionales.
Si bien las organizaciones gubernamentales hacen cumplir las leyes de privacidad como GDPR y CCPA, no han promulgado leyes que requieran que las organizaciones privadas implementen ciertas medidas de ciberseguridad.
El oferta recomienda varias mejores prácticas de ciberseguridad. Incluyen:
- Ampliar el uso de requisitos mínimos de ciberseguridad en sectores críticos.
- Protección y modernización de redes federales.
- Actualización de la Política Federal de Respuesta a Incidentes.
- Involucrar al sector privado en la destrucción a través de mecanismos escalables.
- Combatir la amenaza del ransomware con un enfoque federal integral.
- Delegar la responsabilidad de los productos y servicios de software para promover el desarrollo seguro.
Incorporar al sector privado y transferir la responsabilidad de la seguridad cibernética a los productos y servicios de software es un cambio importante en la estrategia de seguridad cibernética del gobierno de EE. UU. Al transferir la responsabilidad a los productos y servicios de software privados, el gobierno de EE. UU. puede responsabilizar a las organizaciones privadas por no implementar ciertos controles de seguridad cibernética.
Por ejemplo, si una nueva estrategia se convierte en ley, podría potencialmente hacerla ilegal para las organizaciones. recopilar datos confidenciales sin encriptación. Actualmente, cuando las organizaciones privadas no siguen los controles de seguridad exigidos por el marco de cumplimiento, simplemente no reciben una certificación o informe.
Según la nueva propuesta de las organizaciones pueden ser multados o incluso enfrentar ramificaciones legales si no cumplen con los controles de seguridad requeridos por el gobierno de los EE. UU. Esto podría dar un vuelco a toda la industria de la tecnología y, de repente, muchas organizaciones no cumplirán si no cuentan con las medidas de seguridad necesarias.
Cómo afectan las políticas nacionales de ciberseguridad a las empresas SaaS
IEs importante señalar que la estrategia aún no es una ley, sino un documento de política, por lo que no cambia la forma en que actualmente enfrentamos los ataques cibernéticos.
Sin embargo, es probable que el cambio de responsabilidades hacia las ofertas de productos y servicios de software active las alarmas para los propietarios de negocios SaaS. Actualmente, los consumidores son responsables de las vulnerabilidades del software que conducen a los ataques cibernéticos. Por ejemplo, si un usuario descarga un nuevo software que presenta una vulnerabilidad y permite que un atacante obtenga acceso, el fabricante del software está protegido. acuerdo de licencia de software firmado por el usuario para asumir el riesgo de responsabilidad.
Sin embargo, según la nueva estrategia El fabricante del software será responsable de crear la vulnerabilidad en la computadora del usuario. Si esta estrategia se convierte en ley, las empresas de SaaS deberán reasignar fondos y otros recursos a la seguridad cibernética para cumplir con las regulaciones gubernamentales. Este cambio requerirá nuevos roles, responsabilidades y activos en el ciberespacio.
Qué pueden hacer las empresas SaaS para prepararse para la nueva política de ciberseguridad
Para prepararse mejor, las organizaciones deben implementar algunos controles básicos de ciberseguridad y seguir las mejores prácticas. Si una organización ya cumple con algunos de los estándares más comunes, como NIST 800-53, SOC 2 o ISO 27001, entonces ya está un paso adelante.
Sin embargo, hay tres acciones que las organizaciones pueden tomar ahora mismo para prepararse para esta legislación potencial, e incluyen:
- Cree un programa de ciberseguridad utilizando un marco de ciberseguridad comúnmente aceptado.
- Implementar controles de privacidad de datos utilizando la guía de RGPD y CCPA.
- Implementar fundamental mejores practicas de ciberseguridad como encriptación en reposo, IDS/IPS, escaneo de vulnerabilidad regular y escaneo anual pruebas de penetraciónetc.
En la actualidad, las entidades privadas son las encargadas de aportar la mayor parte Datos de ciudadanos estadounidenses. Cambiar las obligaciones a los productos y servicios de software es un cambio importante en la protección de la privacidad de los datos que fortalecerá significativamente la postura de seguridad cibernética de la nación. La Estrategia Nacional de Seguridad Cibernética propuesta es un paso significativo en la promoción de prácticas de desarrollo seguras y la protección de la privacidad de los datos.
Aunque la estrategia aún se encuentra en la etapa de propuesta, potencialmente podría transferir la responsabilidad de los consumidores a los fabricantes de software. Esto significa que las empresas de SaaS deben comenzar a adaptar su enfoque y recursos ahora para cumplir con las regulaciones futuras y garantizar una posición sólida en ciberseguridad, independientemente de lo que suceda a nivel nacional. Al implementar requisitos mínimos de seguridad, modernizar sus redes y actualizar sus políticas de respuesta a incidentes, puede dar un gran paso para proteger a su empresa de los ataques.