Saltar al contenido

Se insta a los gobiernos australianos a adoptar estándares globales de seguridad cibernética para la nube – Estrategia – Seguridad – Nube – Telco / ISP – iTnews

Un grupo de trabajo de líderes de la industria patrocinado por el gobierno de Nueva Gales del Sur ha pedido a los gobiernos federales, estatales y locales de Australia que adopten estándares de seguridad cibernética reconocidos internacionalmente para los servicios en la nube.

También ha instado a los gobiernos a evaluar de manera más favorable las propuestas o licitaciones de empresas que adoptan estándares de seguridad cibernética y otros riesgos para las telecomunicaciones y el Internet de las cosas (IoT).

El grupo de trabajo de armonización de estándares de seguridad cibernética de Nueva Gales del Sur hizo las recomendaciones junto con otras 22 en un informe de 16 páginas. [pdf] lanzado el jueves.

Sigue seis meses de trabajo por parte del grupo de trabajo, que consta de representantes de los sectores de defensa, salud energética y servicios financieros, para impulsar la adopción de estándares.

El informe separa las recomendaciones para el desarrollo y la implementación de estándares en siete áreas clave: nube, defensa, educación, energía, servicios financieros, salud y telecomunicaciones e IoT.

El grupo de trabajo descubrió que, en general, había una gran variedad de estándares de seguridad cibernética para seleccionar, algunos integrados en la política y otros no.

En el ámbito de la nube, el informe insta a los gobiernos a “adoptar y aprovechar las normas ISO y / o IEC reconocidas como requisitos básicos para la seguridad de la información (es decir, la serie ISO / IEC 27000)”.

Los gobiernos que buscan introducir nuevos servicios en la nube a un nivel protegido o inferior también deberían considerar “ISO / IEC 27001, SOC 2 y potencialmente FedRAMP como parte de una línea de base de seguridad uniforme”.

ISO / IEC 27000 es una familia de estándares ampliamente conocida que se utiliza para garantizar que los activos de información estén seguros, mientras que FedRamp es un programa de EE. UU. Que proporciona un enfoque estandarizado para las evaluaciones de seguridad en la nube.

El informe dijo que los estándares podrían integrarse en “cualquier marco regulatorio o modelo de adquisiciones propuesto en relación con la seguridad cibernética”.

De manera similar, se ha instado a los gobiernos a adoptar normas para la seguridad protectora y la seguridad de la cadena de suministro y la gestión de riesgos, a saber, ISO 28001, ISO 31000 y la próxima ISO 22340.

En un intento por ayudar en esto, el informe recomienda que las empresas y los gobiernos desarrollen material que “comunique claramente cualquier beneficio comercial en torno a la adopción de estándares”.

El informe también indica que deben seguirse las normas internacionales en caso de que, en su lugar, se adopte un enfoque basado en principios.

Estándares dentro de las licitaciones, política gubernamental

También se ha instado a los gobiernos a “explorar mecanismos para considerar y ponderar las propuestas o licitaciones” cuando una empresa demuestre la adopción de estándares para telecomunicaciones e IoT.

El informe apunta a estándares en torno a la seguridad cibernética, incluida la seguridad de IoT en particular, y la gestión de riesgos.

“Esto podría ocurrir, por ejemplo, a través de procesos de aseguramiento con informes de rutina sobre el porcentaje de proveedores que demostraron que cumplen con los requisitos de estándares particulares”, dice el informe.

“También podría incluir la priorización de propuestas o licitaciones que demuestren el cumplimiento de estándares o códigos internacionales reconocidos”.

De manera similar, los nuevos documentos y directivas de políticas digitales del gobierno deben “considerar explícitamente la consideración de la seguridad cibernética, incluidos los estándares reconocidos”.

“Esto podría ser, por ejemplo, antes de la consideración del Gabinete o del Comité de Revisión de Gastos”, agrega el informe.

Otras recomendaciones incluyen:

Tras la publicación del informe, el director ejecutivo de Standards Australia, Adrian O’Connell, dijo que los gobiernos y las empresas “ahora comenzarán a trabajar colectivamente para implementar estas recomendaciones clave”.

El grupo de trabajo se encuentra actualmente en el proceso de desarrollar una lista de estándares de seguridad cibernética de acceso público en las siete áreas prioritarias del informe.

La directora ejecutiva de AustCyber, Michelle Price, dijo que si bien los estándares no son una pancea, cuando “se combinan con los últimos avances en tecnología y se integran en las cadenas de suministro globales, pueden ayudar a guiar los requisitos básicos de seguridad cibernética”.

“Esto ayudará a elevar la postura de las pequeñas y medianas empresas (PYME), organizaciones y agencias gubernamentales para competir en el mercado australiano e internacionalmente”, dijo.

El ministro de servicio al cliente de Nueva Gales del Sur, Victor Dominello, dio la bienvenida al informe, que dijo que era el resultado de una primera colaboración australiana entre el gobierno de Nueva Gales del Sur, AustCyber ​​y Standards Australia.

“Reunimos a algunas de las mejores y más brillantes mentes cibernéticas del país para asegurarnos de que tenemos los más altos estándares y nos mantenemos a la vanguardia”, dijo sobre el grupo de trabajo en un comunicado.

Este contenido se publicó originalmente aquí.