Michael Duffy, nominado por el presidente Donald Trump para Subsecretario de Defensa para Adquisición y Sostenimiento, se ha comprometido a revisar el Modelo de Certificación de Madurez Cibernética (CMMC) 2.0 del Pentágono si es confirmado. Este programa renovado, que ha estado en vigor desde diciembre, exige que los contratistas de defensa que manejan información controlada y no clasificada cumplan con estándares específicos de ciberseguridad para calificar para contratos del Departamento de Defensa. Se han planteado preocupaciones sobre la carga que estas regulaciones pueden imponer a las empresas más pequeñas, con un informe que indica que más del 50% de los encuestados se sentían poco preparados para los requisitos del programa. Duffy busca equilibrar las necesidades de seguridad con las cargas regulatorias, reconociendo la vulnerabilidad de las pequeñas y medianas empresas frente a las amenazas cibernéticas.
Además de los desarrollos del CMMC, la Administración de Servicios Generales (GSA) está a punto de revelar cambios significativos en el Programa de Gestión de Autorización de Riesgos Federales (FedRAMP). El nuevo plan para 2025 se centra en establecer estándares y políticas en lugar de aprobar paquetes de autorización en la nube, lo que anteriormente extendía el proceso hasta 11 meses. La GSA tiene la intención de automatizar al menos el 80% de los requisitos actuales, permitiendo a los proveedores de servicios en la nube demostrar el cumplimiento de manera más eficiente, al tiempo que reduce la dependencia de servicios de apoyo externos.
Al otro lado del Atlántico, el gobierno del Reino Unido ha anunciado un proyecto de ley integral de ciberseguridad y resiliencia destinado a fortalecer las defensas contra las amenazas cibernéticas. Esta legislación traerá a más empresas bajo supervisión regulatoria, enfocándose específicamente en los proveedores de servicios gestionados (MSP) que brindan servicios de TI esenciales y tienen un acceso extenso a los sistemas de los clientes. Las regulaciones propuestas mejorarán los requisitos de informes de incidentes y empoderarán a la Oficina del Comisionado de Información para identificar y mitigar proactivamente los riesgos cibernéticos, estableciendo expectativas más altas para las prácticas de ciberseguridad entre los MSP.
El episodio también discute las implicaciones de los desarrollos recientes en IA y ciberseguridad. Con empresas como SolarWinds, CloudFlare y Red Hat mejorando sus ofertas, la integración de la IA en las operaciones comerciales plantea preocupaciones sobre la seguridad y el cumplimiento. La facilidad para generar documentos falsos utilizando herramientas de IA representa un riesgo significativo para las industrias que dependen de la verificación de documentos. A medida que el panorama evoluciona, los proveedores de servicios de TI deben adaptarse asesorando a los clientes sobre las prácticas de cumplimiento actualizadas y fortaleciendo sus medidas de ciberseguridad para abordar estas amenazas emergentes.