Proyecto de ley de Kansas crea CISO judicial y legislativo


El proyecto de ley de Kansas tiene como objetivo fortalecer la ciberseguridad en los poderes legislativo y judicial del gobierno, al mismo tiempo que unifica la TI del gobierno.

Esto se debe en parte a los ciberataques de 2023. El trabajo en el proyecto de ley ya había comenzado cuando el sistema judicial del estado colapsó el año pasado, pero los legisladores intentaron aprobar el proyecto de ley temprano a raíz de la crisis, dijo a GovTech el representante de Kansas, Blake Carpenter.

El proyecto de ley requeriría que las agencias estatales cumplan con estándares mínimos de ciberseguridad y designen CISO para cada uno de los poderes judicial y legislativo, así como para algunos poderes ejecutivos. Las funciones del nuevo CISO incluyen revisiones de seguridad de todos los contratos de TI, participación obligatoria de los empleados en capacitación en ciberseguridad y auditorías periódicas de seguridad de la agencia realizadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad.

“Se trata de cambiar la estructura fundamental de cómo manejamos la TI y la cibernética dentro del estado de Kansas”, dijo Carpenter.

El proyecto de ley también consolida la rama ejecutiva de TI bajo un director de tecnología de la información y un CISO con más poderes. Las tres divisiones seguirán el mismo estándar de ciberseguridad ampliamente reconocido, el NIST Cybersecurity Framework 2.0.

Las agencias ejecutivas como el fiscal general y el tesorero del estado también tienen sus propios CISO. Esta medida tiene como objetivo dar a estas agencias cierta autonomía, especialmente cuando no están de acuerdo con el gobernador sobre la política de TI, al tiempo que garantiza que cumplan con los mismos estándares de seguridad que el resto del gobierno, dijo Carpenter.

Actualmente, cada una de las cinco agencias legislativas de Kansas maneja la mayoría de sus necesidades de TI de forma independiente, con el apoyo brindado por un director central de TI. Sin embargo, el proyecto de ley pasaría la mayoría de los servicios de TI y ciberseguridad al ámbito del director de TI.

Actualmente, el poder judicial administra su propia TI y recibe apoyo complementario del condado. Este proyecto de ley cambiaría eso y permitiría al poder judicial utilizar sus propios recursos como una rama separada e igual del gobierno para continuar con sus esfuerzos, en lugar de utilizar los recursos de los condados (condados con una población de aproximadamente 400 personas, para poder hacerlo). el medio ambiente sea realmente seguro”, dijo Carpenter.

En los EE. UU., los tribunales supremos estatales suelen tener un CISO dedicado y personal responsable de la resiliencia cibernética, dijo en un correo electrónico Janet Okazaki, consultora principal de administración de tribunales en el Centro Nacional de Tribunales Estatales. Por otro lado, los enfoques en los tribunales y tribunales comunitarios a menudo varían según el tamaño, la escala y la financiación del tribunal. Los tribunales sin CISO dependen del personal técnico del tribunal para supervisar la resiliencia cibernética y, a veces, dependen de proveedores para servicios cibernéticos adicionales, dijo Okazaki.

El proyecto de ley también reformaría algunas agencias gubernamentales, como la gestión de la adquisición de tecnología en una oficina en lugar de cada una de las aproximadamente 60 agencias separadas. Esto debería reducir el abastecimiento duplicado y permitir descuentos por compras al por mayor.

En cambio, según este proyecto de ley, cada departamento dependería de agencias especializadas en ese departamento. Por ejemplo, el Consejo de Coordinación Legislativa implementará la política de TI en el poder legislativo.

El proyecto de ley de Kansas prevé que el estado necesitará actualizaciones de ciberseguridad a medida que cambie el panorama de amenazas, dijo la representante Barbara Wasinger. Las medidas del proyecto de ley se implementarían gradualmente a lo largo de cinco años, y las agencias dedicarían los primeros 18 meses a planificar, ultimar detalles y prepararse para los próximos pasos.

Carpenter dijo que preparó el proyecto de ley tan rápido que no tuvo tiempo de abordarlo todo. También quiere centrarse en la ciberseguridad en seis importantes universidades estatales que pueden examinar información gubernamental confidencial o conectar a los estudiantes a las redes estatales. Si bien el gobierno puede exigir medidas de seguridad para sus empleados, no tiene esa autoridad para los usuarios de la red estatal que no son empleados, como los estudiantes. Las autoridades necesitan más tiempo para determinar el mejor enfoque ante este desafío, y es probable que el debate continúe durante el próximo año.

Jule Pattison-Gordon es redactora senior de Government Technology. Anteriormente escribió para PYMNTS y ​​The Bay State Banner y tiene una licenciatura en Escritura Creativa de la Universidad Carnegie Mellon. Nuestra base está fuera de Boston.

Ver más historias de Jules Pattison Gordon



Fuente: https://www.govtech.com/security/kansas-bill-would-create-judicial-legislative-cisos