El 16 de enero de 2025, el expresidente estadounidense Joe Biden emitió la “Orden ejecutiva sobre el fortalecimiento y la promoción de la innovación en la ciberseguridad de la nación”, que amplía la Orden ejecutiva de 2021 sobre la mejora de la ciberseguridad de la naciónEl 2025 de Biden Orden Ejecutiva (OE) 14144 Su objetivo es reforzar las defensas de Estados Unidos contra las ciberamenazas en constante evolución. Esta directiva aborda las vulnerabilidades en las agencias federales, la infraestructura crítica y las redes del sector privado, y enfatiza la necesidad de mejorar la rendición de cuentas, promover la innovación (tecnologías emergentes) y fortalecer las medidas de ciberseguridad.
Objetivos clave de la Orden Ejecutiva
La nueva Orden Ejecutiva se centra en varias áreas críticas para fortalecer la ciberseguridad nacional:
Modernizar la infraestructura federal de ciberseguridad
- Requiere que las agencias adopten autenticación y cifrado de múltiples factores para proteger datos confidenciales e implementar un arquitectura de confianza cero para garantizar la verificación de usuarios y dispositivos.
- Las agencias deben migrar a entornos de nube seguros dentro de un período de tiempo específico para mejorar la protección de datos.
- Exige mecanismos mejorados de detección y respuesta de puntos finales para mejorar detección de amenazas en tiempo real.
Mejorar la colaboración y las comunicaciones público-privadas
- Establecer alianzas más sólidas entre agencias federales, empresas del sector privado y el mundo académico para compartir inteligencia sobre amenazas.
- Fomentar el desarrollo de tecnologías innovadoras de ciberseguridad mediante financiación y subvenciones gubernamentales.
Fortalecimiento de la seguridad de la cadena de suministro
- Implementar rigurosos evaluaciones de seguridad para proveedores de software y hardware que abastecen al gobierno federal.
- Se introdujeron pautas de seguridad más estrictas para el desarrollo de software, garantizando la transparencia y la resiliencia frente a las amenazas cibernéticas.
- Requiere que los contratistas de tecnología proporcionen evidencia de prácticas de desarrollo de software seguras, proporcionen visibilidad del software y hagan que los datos de seguridad estén disponibles públicamente.
Estableciendo un estándar para las respuestas a vulnerabilidades e incidentes de ciberseguridad
- Establecer requisitos obligatorios de informes de incidentes para las agencias federales y los socios clave de la industria.
- Fortalecer las capacidades de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) para coordinar las respuestas nacionales en materia de ciberseguridad.
- Mejorar las capacidades de análisis forense para comprender y mitigar mejor las amenazas cibernéticas.
- Crear un manual estandarizado y definiciones para la respuesta a incidentes de vulnerabilidad cibernética en todos los departamentos y agencias federales.
- Garantizar que todas las agencias federales cumplan con un estándar de referencia y sigan procedimientos uniformes para identificar y mitigar amenazas.
- Proporcionar un modelo para que las organizaciones del sector privado alineen sus esfuerzos de respuesta con las mejores prácticas federales.
Integrar la Inteligencia Artificial (IA) para la Ciberseguridad
- Investigación directa, desarrollo y uso responsable de tecnologías y procesos de ciberseguridad basados en IA para descubrir vulnerabilidades, detectar amenazas y permitir la generación de informes sobre incidentes y vulnerabilidades de seguridad mediante IA.
- Desarrollar asociaciones públicas y privadas para aprovechar la IA para la ciberdefensa de infraestructura crítica, como el sector energético.
- Establecer pautas para garantizar que las tecnologías de IA se implementen de forma ética y segura.
Implicaciones para las empresas y los organismos gubernamentales
La Orden Ejecutiva introduce nuevos requisitos de cumplimiento que afectarán a las organizaciones que trabajan con el gobierno federal:
- Mayor responsabilidad: Las empresas deben implementar medidas de seguridad más sólidas y demostrar su cumplimiento de las regulaciones y marcos de ciberseguridad actualizados.
- Mayores oportunidades de financiación: Las organizaciones que invierten en innovación en ciberseguridad pueden beneficiarse de subvenciones y contratos federales.
- Colaboración mejorada: Las empresas del sector privado tendrán mayores oportunidades de asociarse con agencias federales en iniciativas de ciberseguridad.
¿Cómo deben las organizaciones alinearse con la EO?
Para alinearse con los nuevos mandatos, las organizaciones deberían:
- Adoptar modelos de seguridad de confianza cero: Implementar medidas de autenticación y verificación continua.
- Mejorar las capacidades de detección de amenazas: Aproveche las herramientas de seguridad impulsadas por IA para la monitorización en tiempo real.
- Mejorar la seguridad de la cadena de suministro: Realizar evaluaciones exhaustivas de proveedores de software y hardware.
- Invertir en la formación de los empleados: Asegúrese de que los equipos tengan las últimas habilidades y conocimientos en ciberseguridad.
- Cumpla con las nuevas regulaciones: Revisar y actualizar periódicamente las políticas de seguridad para cumplir con los estándares federales.
Cómo BigID puede alinear a las organizaciones con la Orden Ejecutiva
La plataforma líder de BigID para la privacidad de datos, la seguridad, el cumplimiento normativo y la IA permite a las organizaciones cumplir con los estrictos requisitos establecidos en la orden ejecutiva. Al aprovechar las soluciones integrales de seguridad de datos y cumplimiento normativo de BigID, las organizaciones pueden alinearse eficazmente con las directivas de la orden ejecutiva, fortaleciendo su estrategia de ciberseguridad y promoviendo la innovación en un entorno seguro.
- Descubrimiento y clasificación integral de datos: Identifique y clasifique automáticamente datos confidenciales en todas las fuentes de datos estructurados y no estructurados, tanto en la nube como en las instalaciones locales, para comprender su panorama de datos.
- Gestión de riesgos de datos: Obtenga visibilidad y control completos dentro de su programa de seguridad de datos y reducción de riesgos al identificar, priorizar y remediar riesgos y vulnerabilidades de datos críticos por nivel de gravedad de acuerdo con la sensibilidad, la ubicación, la accesibilidad y más.
- Gestión de riesgos de la cadena de suministro: Evalúe la postura de seguridad de proveedores externos automatizando las evaluaciones y el monitoreo de proveedores para reducir el riesgo de terceros y verificar que todos los proveedores cumplan con los estándares de seguridad y protección de datos.
- Gestión avanzada de acceso y protección de datos: Automatice y agilice la gestión de derechos de acceso a datos confidenciales y en riesgo en toda la organización para lograr Confianza Cero y mitigar el riesgo de exposición de datos no deseados.
- Investigación y respuesta ante infracciones: Acelere la respuesta a las infracciones identificando a los usuarios afectados, reduciendo los tiempos de evaluación de las infracciones, conteniendo incidentes y garantizando una resolución más rápida para cumplir con las leyes de notificación de infracciones y otros requisitos reglamentarios.
- Cumplimiento normativo y presentación de informes: Genere informes completos y prácticos sobre la postura de riesgo de los datos, la gobernanza y el cumplimiento, garantizando la preparación para las revisiones de las partes interesadas.
Obtenga una demostración para descubrir cómo el enfoque impulsado por IA de BigID ayuda a las agencias a optimizar la gobernanza de datos, mejorar la seguridad y mantenerse a la vanguardia de los requisitos regulatorios cambiantes.
Autor
