La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó la Directiva Operacional Vinculante 25-01: Implementación de Prácticas Seguras para Servicios en la Nube el 17 de diciembre, que establece las acciones que deben tomar las agencias federales para identificar y proteger todos los inquilinos de la nube de producción u operación en sus entornos.
La Directiva se ha emitido en respuesta a la escalada de entornos de nube que son el objetivo de actores maliciosos.
CISA destacó cómo la configuración incorrecta de los controles de seguridad en entornos de nube ha introducido un riesgo sustancial y ha dado lugar a vulneraciones.
«Mantener líneas de base de configuración seguras es fundamental en el panorama dinámico de la ciberseguridad, donde los cambios de proveedores, las actualizaciones de software y la evolución de las mejores prácticas de seguridad dan forma al entorno de amenazas. “Como los proveedores lanzan con frecuencia nuevas actualizaciones y parches para abordar las vulnerabilidades, las configuraciones de seguridad también deben ajustarse”, afirmó CISA.
Las medidas se basan en el proyecto Secure Cloud Business Applications (SCuBA) de CISA, a partir del cual la agencia desarrolló líneas de base de configuración segura. Estas líneas de base establecen configuraciones de seguridad en la nube y herramientas de evaluación consistentes y manejables.
Las acciones clave que las agencias y departamentos federales deben tomar según la Directiva son:
• Para el 21 de febrero de 2025, identificar y proporcionar el nombre de todos los inquilinos de la nube dentro del alcance de la Directiva y la agencia/componente propietaria del sistema para cada inquilino.
• Para el 25 de abril, implementar todas las herramientas de evaluación de SCuBA para los inquilinos de la nube dentro del alcance y comenzar a informar de manera continua a CISA.
• Para el 20 de junio, implementar todas las políticas obligatorias de SCuBA según lo establecido en el sitio web de Configuraciones requeridas de la Directiva operativa vinculante 25-01 administrada por CISA.
• Implementar todas las actualizaciones futuras de las políticas obligatorias de SCuBA de acuerdo con los plazos establecidos en el sitio web de Configuraciones requeridas.
• Implementar todas las líneas base de configuración segura de SCuBA obligatorias y comenzar a monitorear de manera continua a los nuevos inquilinos de la nube antes de otorgar una Autorización para operar.
• Identificar y explicar las desviaciones en el resultado de las herramientas de evaluación de SCuBA cuando se informen a CISA
CISA brindará apoyo sobre cómo cumplir con estos requisitos y proporcionará un informe de estado sobre el progreso de la agencia al Secretario de Seguridad Nacional, al Director de la Oficina de Administración y Presupuesto (OMB) y el Director Nacional de Ciberseguridad.
La Directiva complementa los recursos federales existentes para la seguridad en la nube, incluido el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP), la guía pertinente del Instituto Nacional de Estándares y Tecnología (NIST) y el caso de uso en la nube de Conexiones a Internet de Confianza (TIC) 3.0 de la CISA.
La CISA agregó las líneas de base de configuración segura de SCuBA para otros productos en la nube, que automáticamente quedarán dentro del alcance de la Directiva.