Retos para el Gobierno y los PSM en la aplicación de Essential 8

En la práctica, la aplicación de los Ocho Aspectos Esenciales puede resultar difícil, sobre todo para las administraciones públicas y los proveedores de servicios gestionados. A continuación se exponen algunos retos clave a los que se enfrentan estas organizaciones:

• Mandatos y presión de cumplimiento: En el sector público, la E8 no es sólo una guía, sino cada vez más un mandatooría. Por ejemplo, la política de ciberseguridad de Nueva Gales del Sur exige que todos los organismos estatales alcancen al menos el nivel de madurez 1 en los ocho controles. A nivel federal, el Gobierno ha señalado que se espera que el cumplimiento de los Ocho Esenciales refuerce la resistencia cibernética nacional. Esto crea una presión para alcanzar objetivos de madurez específicos en plazos fijados.ines. Las agencias deben someterse a auditorías e informar anualmente de su estado de madurez E8, lo que significa que el incumplimiento puede dar lugar a un escrutinio o a sanciones. Los MSP que prestan servicios a clientes gubernamentales también sienten esta presión, ya que pueden estar obligados por contrato a mantener los controles de la E8 para proteger los entornos de los clientes. El incumplimiento puede suponer la pérdida del contrato o responsabilidades legales.legal.
• Entornos informáticos complejos y heredados: Los departamentos gubernamentales suelen mantener grandes entornos de TI heterogéneos con sistemas heredados, aplicaciones propietarias y hardware obsoleto. Esta complejidad dificulta la aplicación uniforme de controles como las listas de aplicaciones permitidas o el patching. Es posible que el software heredado no admita funciones de seguridad modernas (por ejemplo, la aplicación de MFA o la desactivación de macros), pero no puede sustituirse fácilmente debido a necesidades operativas. Del mismo modo, los MSP gestionan múltiples redes de clientes, cada una con diferentes arquitecturas y problemas heredados. Garantizar que los controles de Essential Eight se aplican de forma coherente en este panorama tan diverso es todo un reto.desafío. Abundan las configuraciones personalizadas y las excepciones puntuales, que pueden crear lagunas en la línea de base de la seguridad. Sin una gestión cuidadosa, un MSP o agencia podría tener ciertas unidades de negocio o sitios de clientes bien protegidos mientras que otros permanecen en el Nivel 0 debido a constraints.
• Limitación de recursos y competencias: Otro reto importante es el personal y recursos limitados y recursos en muchas organizaciones del sector público. Los equipos informáticos de las administraciones públicas suelen ser pequeños y escasos, lo que dificulta la supervisión continua del cumplimiento (por ejemplo, comprobando semanalmente el estado de los parches de cada máquina) o la respuesta rápida a las nuevas amenazas.tes. Hay una gran demanda de profesionales de seguridad cualificados, y los salarios del sector público pueden dificultar la captación y retención de talentos. Los MSP, por su parte, pueden tener experiencia en seguridad, pero deben repartir su equipo entre muchos clientes, lo que limita el tiempo dedicado al mantenimiento de la seguridad de cada cliente. Ambos se enfrentan al riesgo de "fatiga del marco", en el que mantenerse al día con Essential Eight (y otros marcos) se convierte en un trabajo a tiempo completo en sí mismo. En la práctica, sin automatización, los equipos recurren a procesos que requieren mucho trabajo (hojas de cálculo, auditorías manuales), propensos a errores y difíciles de calibrar.calar.
• Lagunas de visibilidad y gestión de activos: Un reto fundamental tanto para el gobierno como para los MSP es simplemente saber lo que se tiene. Es imposible proteger o parchear dispositivos de los que no se tiene conocimiento. Muchas organizaciones carecen de un inventario de activos completo y actualizado - Los sistemas de TI en la sombra, los portátiles olvidados o los nuevos dispositivos IoT pueden caer en el olvido.acks. Esto socava varios controles E8 (control de aplicaciones, aplicación de parches, etc.). El mantenimiento manual de listas de activos mediante hojas de cálculo o auditorías periódicas suele dejar lagunas. Un organismo observó que cerrar las brechas de cumplimiento solía llevar semanas persiguiendo hojas de cálculo y aún así sengs . Sin una visibilidad continua, una organización puede pensar que ha parcheado todos los sistemas o eliminado los derechos de administrador, pero encontrarse con un dispositivo o una cuenta sin rastrear. Esto es especialmente delicado para los MSP que hacen malabares con muchas redes de clientes; mantener una visibilidad completa en cada entorno es una tarea difícil sin herramientas centralizadas.centralizadas.
• Mantener el cumplimiento continuo: Lograr el cumplimiento de la E8 una vez no es suficiente; la verdadera dificultad reside en mantenerla. Los sistemas son dinámicos: cada mes surgen nuevas vulnerabilidades, los usuarios instalan software o cambian la configuración, la rotación de personal provoca cambios en los permisos, etcétera.o más. En un entorno gubernamental, un organismo puede alcanzar el nivel de madurez 1 este año, pero sin un esfuerzo continuado podría retroceder a medida que aparezcan nuevas lagunas (por ejemplo, si se omite un parche crítico en un nuevo servidor). Esencial Ocho requiere aplicación continuaparches dentro de los plazos especificados, garantizar que las macros permanezcan desactivadas, verificar que las copias de seguridad se ejecuten todos los días, etc. Para los MSP, el reto se multiplica entre los clientes: deben mantener los sistemas de cada cliente en conformidad, todos los días. Esto es difícil sin automatización y supervisión centralizada. La necesidad de detectar desviaciones (cuando un sistema deja de cumplir la normativa) y remediarlo rápidamente es primordial. Muchas organizaciones tienen dificultades en este sentido: puede que obtengan buenos resultados en una evaluación puntual, pero el desvío diario conduce al incumplimiento en la siguiente revisión. Crear procesos y adquirir herramientas que permitan un cumplimiento continuo es un obstáculo importante.
• Equilibrar la seguridad con la facilidad de uso: Tanto los departamentos de TI de las administraciones públicas como los MSP deben implantar los ocho elementos esenciales de forma que no interrumpan las operaciones empresariales. Controles como las listas blancas de aplicaciones o la desactivación de las macros de Office pueden generar rechazo por parte de los usuarios o afectar a la productividad si se aplican de forma brusca. Las agencias se enfrentan a la resistencia interna si las medidas de seguridad impiden los flujos de trabajo empresariales (por ejemplo, si un analista necesita una hoja de cálculo con macros habilitadas). Del mismo modo, los MSP deben equilibrar la experiencia de usuario del cliente con la seguridad: si su servicio de seguridad es demasiado restrictivo, los clientes pueden quejarse.lain. Así pues, el reto consiste en encontrar soluciones que armonicen con los flujos de trabajo existentespor ejemplo, introduciendo gradualmente el control de las aplicaciones, utilizando la tecnología para automatizar las excepciones y educando a los usuarios para reducir la frustración. Este aspecto cultural y operativo puede ser tan difícil como la aplicación técnica.técnica.

En resumen, las organizaciones del sector público y los MSP tienen grandes incentivos para adoptar los Ocho Esenciales, pero se encuentran con importantes obstáculos en torno a la complejidad, las limitaciones de recursos, la visibilidad y el mantenimiento. Superar estos retos requiere una planificación inteligente y la ayuda de herramientas automatizadas e integradas - que es hacia donde apunta la solución de FirstWave. Las siguientes secciones describirán el enfoque de defensa por capas de FirstWave y cómo sus capacidades abordan directamente estos puntos débiles, permitiendo a los clientes gubernamentales y MSP alcanzar y mantener el cumplimiento de los Ocho Esenciales más fácilmente.