FISMA II: un nuevo marco cibernético para reforzar la seguridad de la información de las agencias

Como parte de los esfuerzos legislativos de la administración Obama para proteger la información de las agencias gubernamentales, recientemente se promulgó la Ley Federal de Modernización de la Seguridad de la Información de 2014 (FISMA II) con el fin de reforzar y actualizar su versión de 2002, y adaptar los procedimientos para responder a las realidades de la era actual, en la que las amenazas cibernéticas son cada vez más sofisticadas. La ley tiene por objeto aplicar programas de seguridad amplios, coordinar y agilizar los procedimientos de las agencias e instituir un mayor control, supervisión y preparación en lo que respecta a las amenazas y los incidentes cibernéticos.

El objetivo de la FISMA II es amplio: racionalizar y reforzar los procedimientos de control de la información en todas las agencias y hacerlos más eficientes y eficaces. Su directiva legislativa también es amplia: reforzar los controles federales de seguridad de la información; mejorar la gestión y la supervisión; aumentar la función directiva del Departamento de Seguridad Nacional de los Estados Unidos (DHS), en consulta con la Oficina de Gestión y Presupuesto (OMB); e imponer nuevos plazos más cortos para que las agencias informen al Congreso de los Estados Unidos sobre los incidentes de seguridad. La ley también establece un centro federal de incidentes de seguridad de la información y exige a las agencias que realicen evaluaciones periódicas de los riesgos de sus políticas y prácticas.

Relevancia y oportunidades para el sector privado

La FISMA II se centra en los procedimientos y la supervisión internos de las agencias, pero las empresas manufactureras, los proveedores de defensa y otras empresas del sector privado con contratos federales, especialmente en el ámbito de la tecnología de diagnóstico y negocios relacionados, harían bien en tomar nota de la ley, así como de los sistemas de datos y otra información, controles y procedimientos que se implementarán y supervisarán en virtud de la FISMA II. El suministro, la recepción o el intercambio de datos u otra información en relación con un proyecto de una agencia federal puede implicar la aplicación de la FISMA II y tener consecuencias para los contratistas del gobierno, especialmente en caso de una violación de la seguridad de los datos u otro incidente del sistema. De hecho, al describir los programas para proteger los sistemas de información, la FISMA II deja claro que no solo las agencias gubernamentales, sino también los «contratistas» y «otras fuentes» deben estar cubiertos. Un objetivo legal es proteger con programas de seguridad de la información las operaciones y los activos tanto de las agencias gubernamentales como de los contratistas. Aparte de las cuestiones relacionadas con la protección de la información, la ley ofrece cada vez más oportunidades a los auditores externos independientes para realizar evaluaciones de los sistemas de las agencias que carecen de un inspector general (IG) y en los casos en que los inspectores generales de las agencias deciden no hacerlo.

La seguridad de la información es la piedra angular de la nueva ley. Con ese fin, la FISMA II establece que cada año se realicen evaluaciones de la eficacia de los sistemas de información de las agencias y de sus políticas, prácticas y procedimientos. Además, como parte de su compromiso de mejorar las capacidades del gobierno, la FISMA II reafirma la confianza de las agencias gubernamentales en las «tecnologías de diagnóstico continuo» comerciales para ejecutar esta línea ampliada y reforzada de ciberdefensa. Las tecnologías incluyen «herramientas de seguridad para proporcionar seguridad de la información» y otros productos a través del programa de diagnóstico y mitigación continuos del DHS. Estos elementos cada vez más sofisticados incluyen «herramientas comerciales listas para usar (COTS)», que el DHS ha caracterizado como productos «con términos sólidos para la modernización técnica a medida que cambian las amenazas». En virtud de la FISMA II, el director de la OMB, con la ayuda del secretario del DHS, debe evaluar la adopción de estas tecnologías por parte de las agencias en los dos primeros años. Como resultado, los proveedores comerciales con tecnología de diagnóstico de primera calidad diseñada para probar los sistemas de información de las agencias deberían encontrar una demanda continua en el mercado por parte de las agencias gubernamentales.

Actualización de los programas de seguridad de la información de las agencias

La FISMA exige a los organismos gubernamentales que diseñen y apliquen programas eficaces de seguridad de la información para proteger las operaciones de todo el organismo. Los programas deben basarse, en parte, en: (i) evaluaciones periódicas del riesgo y la magnitud del daño resultante de una violación de la seguridad, o la interrupción o destrucción de la información o los sistemas de la agencia; (ii) procesos para implementar las medidas correctivas adecuadas; (iii) procedimientos para detectar, informar y responder a incidentes de seguridad; y (iv) procedimientos para mantener la continuidad de las operaciones.

Como se ha señalado anteriormente, los nuevos programas se centrarán en los sistemas de información para las operaciones y los activos de la agencia en cuestión, así como en «los proporcionados o gestionados por otra agencia, contratista u otra fuente...». El secretario del DHS será responsable de gestionar las políticas y prácticas de seguridad de la información, y de velar por su correcta aplicación. Coordinar los esfuerzos del Gobierno, convocar reuniones con altos funcionarios de las agencias, proporcionar asistencia técnica y supervisar las políticas y prácticas son algunas de las funciones del secretario en virtud de la Ley.

Por otra parte, el director de la OMB tiene la responsabilidad de supervisar los procedimientos para el cumplimiento de las normas y aplicar las medidas de protección adecuadas en materia de seguridad de la información. En lo que algunos podrían considerar una demostración de poder por parte de la agencia (aunque bastante modesta), la FISMA II exige al director de la OMB que «garantice que el secretario [del Departamento de Seguridad Nacional] ejerza las facultades y funciones» que exige la FISMA II. Estas funciones incluyen supervisar las directivas a las agencias para que pongan en práctica nuevas políticas y normas sobre sistemas de información y presenten informes oportunos sobre incidentes de seguridad. El secretario del DHS también debe tener en cuenta la información pertinente del Instituto Nacional de Estándares y Tecnología y del Departamento de Comercio de los Estados Unidos.

Bajo la autoridad del director de la OMB, se requiere notificar las violaciones de datos a los comités designados del Congreso en un plazo máximo de 30 días después de que la agencia las haya descubierto. La información debe incluir la causa de la violación, el número de personas afectadas, una evaluación del riesgo y el daño que les ha causado, las razones de cualquier retraso en la notificación y la estimación de si la agencia realizará la notificación y cuándo lo hará. Con sujeción a las políticas y directrices, el director debe exigir «que la agencia afectada notifique a las personas afectadas [...] con la mayor rapidez posible y sin demoras injustificadas [...]». Sin embargo, cada agencia está obligada, entre otras obligaciones, a notificar a los comités designados del Congreso en un plazo de siete días, cuando haya motivos para creer que se ha producido un incidente grave.

Centro de incidentes de seguridad de la información

En virtud de la FISMA II, se creará un centro central de incidentes de seguridad y el DHS se encargará de su funcionamiento. El centro servirá como centro de operaciones de recursos y proporcionará a las agencias asistencia técnica y orientación sobre incidentes de seguridad en tiempo real: detectando y gestionando los incidentes a medida que se producen; notificando a las agencias las amenazas actuales o potenciales y las debilidades del sistema; y proporcionando información sobre amenazas cibernéticas, vulnerabilidades e incidentes para ayudar a realizar evaluaciones de riesgos.

Evaluaciones independientes anuales

En virtud de la FISMA II, cada organismo debe encargarse de que un auditor independiente realice una evaluación anual de su programa y prácticas de seguridad de la información para determinar su eficacia. En el caso de los organismos que cuentan con inspectores generales, la evaluación puede ser realizada por el inspector general del organismo o por un auditor externo independiente, según lo determine el IG. En el caso de otros organismos, los jefes de los mismos deben «contratar a un auditor externo independiente para que realice la evaluación».

Informes anuales

Cada año, el director de cada agencia debe presentar al director de la OMB, al secretario del DHS, al contralor general y a varios comités del Congreso un informe en el que se describa la idoneidad y la eficacia de las políticas, los procedimientos y las prácticas de seguridad de la información. Lo más importante es que el informe debe resumir las evaluaciones de riesgos de la agencia, la información sobre amenazas y el cumplimiento normativo, así como identificar los incidentes graves y otros incidentes relacionados con la seguridad de la información, incluidos aquellos en los que la seguridad de la información se haya visto significativamente comprometida. Antes del 1 de marzo de cada año, el director de la OMB, en consulta con el secretario del DHS, debe presentar un informe al Congreso en el que se describa la eficacia de las políticas y prácticas de seguridad de la información del año anterior, y se incluya un resumen de los incidentes, el cumplimiento de las normas por parte de la agencia y los procedimientos de notificación de violaciones de datos. En los dos primeros años, el director de la OMB debe evaluar la aplicación por parte de la agencia de las políticas y directrices de notificación de violaciones de datos, y el secretario del DHS debe incluir la evaluación en su informe anual al Congreso.

Conclusión

Los continuos retos del mundo cibernético y los programas enmarcados en la FISMA II plantean desafíos en materia de cumplimiento y protección. Pero también ofrecen oportunidades para que los auditores externos independientes perfeccionen y amplíen las evaluaciones de los programas de las agencias con el fin de valorar su eficacia. Los desarrolladores de tecnología de diagnóstico también se encuentran en una posición idónea para seguir creando y mostrando sus herramientas más avanzadas con el fin de ayudar al Gobierno a prepararse y defenderse de las tácticas de guerra cibernética. El tiempo es esencial, ya que se están implementando nuevas tecnologías y el DHS y la OMB deben evaluar rápidamente, en un plazo de dos años, la adopción de estas tecnologías por parte de las agencias.

---

Foley & Lardner LLP Legal News Alert tiene por objeto proporcionar información (no asesoramiento) sobre novedades legislativas o desarrollos jurídicos importantes. El gran número de novedades jurídicas no permite emitir una actualización para cada una de ellas, ni tampoco un seguimiento de todas las novedades posteriores.

Jonathan N. Halpern
Nueva York, Nueva York
212.338.3650
[email protected]