La Directiva Operativa Vinculante (BOD) 22-01, titulada «Reducción del riesgo significativo de vulnerabilidades explotadas conocidas», establece el marco para este catálogo. Se define como una lista viva que incluye vulnerabilidades y exposiciones comunes (CVE) que representan una amenaza significativa para el gobierno federal. Esta directiva exige que las agencias federales de la rama ejecutiva civil (FCEB) aborden y remedien las vulnerabilidades identificadas antes de una fecha límite específica, con el fin de proteger sus redes de amenazas cibernéticas activas. CISA proporciona información adicional a través de una hoja informativa relacionada con BOD 22-01, donde se destacan los requerimientos y procedimientos pertinentes.
Aunque la BOD 22-01 está diseñada específicamente para las agencias FCEB, CISA también hace un llamado a otras organizaciones, tanto del sector público como privado, para que tomen medidas proactivas en la mitigación de vulnerabilidades. La agencia incita a todas las entidades a priorizar una remediación oportuna de las vulnerabilidades incluidas en el catálogo como parte fundamental de sus prácticas de gestión de vulnerabilidades.
Las vulnerabilidades que ingresan a este catálogo son seleccionadas bajo criterios específicos establecidos por CISA, que consideran tanto la explotación activa como la relevancia y el impacto potencial en la seguridad de las redes. A medida que se continúe monitoreando y evaluando el panorama de amenazas cibernéticas, CISA se compromete a actualizar el catálogo con nuevas vulnerabilidades que cumplan estos criterios.
La importancia del catálogo radica en su capacidad para informar a las organizaciones sobre las vulnerabilidades más críticas que deben abordar de manera prioritaria. Esta estrategia de gestión de vulnerabilidades no solo busca cumplir con las normativas establecidas, sino que también tiene como objetivo mejorar la ciberseguridad en un entorno donde las amenazas son cada vez más sofisticadas y frecuentes. La actuación oportuna en la remediación es vista como una forma esencial de minimizar el riesgo y proteger las infraestructuras críticas.
En resumen, el Catálogo de vulnerabilidades explotadas conocidas de CISA es una herramienta vital en la lucha contra la cibercriminalidad. La implementación de BOD 22-01 proporciona un marco formal que obligará a las agencias federales a manejar las vulnerabilidades identificadas, mientras que CISA anima a todas las organizaciones a observar y aplicar prácticas similares dentro de sus propios sistemas de seguridad. Al reforzar las defensas contra estas vulnerabilidades, el objetivo es no solo seguir las directrices del gobierno, sino también fortalecer la postura general de ciberseguridad a nivel nacional.
Enlace de la fuente, haz clic para tener más información