Cumpla con la Directiva 23-01 de la CISA antes de la fecha límite del 3 de abril

La Directiva 23-01 de la CISA fue emitida en octubre de 2022 por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). La directiva tiene como objetivo garantizar la seguridad de los sistemas y redes federales al exigir una visibilidad continua y completa de los activos y un seguimiento de las vulnerabilidades. Las medidas de calificación y cumplimiento que cumplan con los requisitos de la directiva deben implementarse antes del 3 de abril de 2023. Esta directiva se limita únicamente a los organismos federales; sin embargo, la CISA ha instado a las organizaciones del sector privado y a los gobiernos estatales a revisar e implementar medidas similares.

En resumen, la directiva exige que los organismos federales:  

• mantengan un inventario actualizado de los activos en red, tal y como se define en el ámbito de aplicación de esta directiva;
• identifiquen las vulnerabilidades del software, utilizando medidas privilegiadas u orientados al cliente cuando sea técnicamente posible;
• realicen un seguimiento de la frecuencia con la que la agencia enumera sus activos, qué cobertura de sus activos consigue y cómo de actualizadas están sus señales de vulnerabilidad; y
• proporcionen información sobre activos y vulnerabilidades al panel federal de CDM de la CISA.

(los apartados anteriores son citas literales del sitio web oficial de la CISA)

Para cumplir con estos requisitos, es posible que los organismos federales deban implementar una variedad de herramientas y procesos según su entorno actual. Algunos ejemplos de las herramientas que se utilizan son las siguientes:
Systems Center Configuration Manager (SCCM), Qualys, Rapid7, Tenable, Intune, SolarWinds, AWS Security Center y otras herramientas de monitoreo de infraestructura y nube.

Uno de los principales desafíos a los que se enfrentarán los organismos para cumplir con esta directiva, es el esfuerzo manual que implica el seguimiento de los datos y su posterior recopilación en estas herramientas. Los datos no suelen estar centralizados, por lo que es necesario exportarlos y tratarlos manualmente para obtener un inventario completo y una lista de las vulnerabilidades y los activos. La parte de la directiva que magnifica la importancia de su cumplimiento, es que las agencias deben suministrar esta información a la CISA dentro de las 72 horas siguientes a la solicitud. Esto supone que tener acceso rápido a los datos en una ubicación central sea fundamental, no solo para el cumplimiento de la directiva, sino también para mejorar la seguridad.

Afortunadamente, ServiceNow es una solución en una ubicación única que puede centralizar todos los datos y las herramientas necesarias para cumplir con esta directiva. Con las aplicaciones ITOM y Vulnerability Response, los organismos pueden agregar a la perfección los datos de sus herramientas de seguimiento de activos y vulnerabilidades en ServiceNow, para facilitar la presentación de informes y la corrección de vulnerabilidades de manera más eficiente.

El valor va más allá del cumplimiento

Con miles de implementaciones de ServiceNow realizadas siguiendo las mejores prácticas, Thirdera ha ayudado con éxito a una multitud de clientes de los sectores público y privado a sacar partido de ServiceNow, para gestionar las regulaciones y las operaciones de seguridad. Los clientes de Thirdera que han implementado Vulnerability Response normalmente ven la reducción en más de 40 horas a la semana en agregar y asignar vulnerabilidades. Al sacar partido de ITOM Discovery, Service Mapping y CMDB, los organismos pueden mejorar aún más la visibilidad de su entorno y priorizar automáticamente el seguimiento de los activos y la corrección de vulnerabilidades. Además de las mejoras en la resolución de vulnerabilidades, los clientes de Thirdera que mantienen una CMDB en buen estado y basada en los servicios suelen ver un 82% menos de cambios fallidos y una resolución de incidencias un 38% más rápida. Como puede ver, Thirdera puede ayudarle a convertir un único objetivo de cumplimiento en una gran cantidad de resultados tangibles.

Si es un organismo federal, la Directiva 23-01 de la CISA no es algo que pueda eludirse. Thirdera puede guiarle a cómo sacar partido de la plataforma de ServiceNow no solo para cumplir con su programa de ciberseguridad, sino también para mejorar su eficiencia. Si tiene alguna pregunta sobre los requisitos de la directiva o tiene dudas sobre el posible impacto, ¡estamos aquí para ayudarle!