¿Qué son los Cyber Hygiene Services de CISA?

Este servicio es una suscripción libre de costo para que los Regulados puedan llevar a cabo una autoevaluación de sus activos de información y recibir recomendaciones de CISA. Los escaneos incluyen:

1. Análisis de vulnerabilidades externas: este servicio supervisa y evalúa continuamente los activos de red accesibles a través de Internet (direcciones IPv4 públicas y estáticas) para evaluar sus activos y vulnerabilidades. Además de los informes de hallazgos semanales, recibirá alertas ad hoc sobre hallazgos urgentes, como servicios potencialmente riesgosos y vulnerabilidades explotadas conocidas.
2. Análisis de aplicaciones web: este servicio analiza a profundidad las aplicaciones web de acceso público para descubrir vulnerabilidades y configuraciones incorrectas que los atacantes podrían explotar. Esta evaluación integral incluye, entre otras, las vulnerabilidades incluidas en el OWASP, que representan los riesgos de seguridad de aplicaciones web más críticos. El servicio proporciona informes detallados mensuales, así como informes para ayudar a mantener seguras sus aplicaciones web.

‍

¿Cuáles son los objetivos de los Cyber Hygiene Services de CISA?

• Reducir significativamente el riesgo. Las organizaciones suelen reducir su riesgo y exposición en un 40% en los primeros 12 meses. La mayoría ve mejoras en los primeros 90 días.

• Evitar sorpresas. Debido a que los servicios buscan activos expuestos al Internet (de acceso público), identifican vulnerabilidades que podrían quedarse sin mitigar.
• Mejorar su respuesta. Al combinar la información de vulnerabilidades obtenidos con los esfuerzos existentes de detección de amenazas y manejo de riesgo cibernético, las organizaciones inscritas pueden aumentar la precisión y la eficacia de las actividades de respuesta. Esto representa menos falsas alarmas y menos posibilidades de que los peligros reales se cuelen a través de la red.
• Ampliar su postura de ciberseguridad. Más allá de detectar vulnerabilidades, el análisis de CISA busca ampliar la seguridad de cada organización. Al ofrecer visibilidad de los activos de información y alertas sobre hallazgos urgentes, pone a las entidades en una mejor posición para tomar decisiones informadas sobre los riesgos.

‍

¿Quién lleva a cabo estos escaneos y quién puede recibir la información?

Los Cyber Hygiene Services son ofrecidos por expertos en seguridad de la información altamente capacitados de CISA, equipados con herramientas de última generación. La misión de CISA es reducir de manera significativa y medible los riesgos de ciberseguridad a nivel nacional, ofreciendo servicios al sector privado, público y de infraestructura crítica.

Cualquier entidad federal, estatal, local, tribal y territorial con sede en EE. UU., así como organizaciones de infraestructura crítica pueden recibir estos servicios, libre de costo. La información se le envía únicamente al punto de contacto registrado para recibir estos informes en su entidad, al completar el Formulario de Solicitud de Servicio (SRF) y la documentación legal requerida por CISA.

‍

¿CISA le enviará las pruebas de vulnerabilidad directamente a la Oficina del Comisionado de Seguros (OCS)?

No. Este servicio es opcional para aquellos Regulados que decidan hacer la autoevaluación de sus activos de información y recibir las recomendaciones de mitigación de CISA, libres de costo.

Conforme a la Regla 108, cada Regulado deberá entregarle a la OCS el resultado de sus pruebas de vulnerabilidades bianualmente, independientemente del servicio que elija para realizarlas. En caso de que el Regulado sí esté suscrito a los Cyber Hygiene Services de CISA, podrá encontrar fácilmente la información necesaria para preparar sus resultados, en la página 6 de su informe semanal: Cyber Hygiene Report Card.

‍

‍

¿Con qué frecuencia se hacen los escaneos?

Al suscribirse a los Cyber Hygiene Services, CISA le enviará su primer escaneo por correo electrónico el lunes siguiente al primer análisis.

El análisis se realiza de forma continua entre cada informe semanal. Se considera un host cualquier dispositivo que se detecte con al menos un puerto o servicio abierto. La priorización del análisis de los Cyber Hygiene Services es la siguiente:

· Las direcciones sin servicios activos detectados (espacio oscuro) se vuelven a analizar después de al menos 90 días.
· Los hosts sin vulnerabilidades detectadas se vuelven a analizar cada 7 días.
· Los hosts con vulnerabilidades de bajo riesgo se vuelven a analizar cada 6 días.
· Los hosts con vulnerabilidades de mediano riesgo se vuelven a analizar cada 4 días.
· Los hosts con vulnerabilidades de alto riesgo se vuelven a analizar cada 24 horas.
· Los hosts con vulnerabilidades de riesgo crítico se vuelven a analizar cada 12 horas.

Es importante recalcar que un solo host puede tener múltiples vulnerabilidades de distinta severidad, lo que afecta la frecuencia con la que se analiza un host.

‍