El registro MSP de Luisiana, que entrará en vigencia el 1 de febrero de 2021, ha provocado muchos debates sobre la regulación de la industria de servicios administrados. En la conferencia virtual IT Nation Secure de la semana pasada, organizada por el proveedor de software de MSP ConnectWise, el secretario de estado de Louisiana, Kyle Ardoin, explicó su intención detrás del registro de MSP y lo que espera que haga la ley.
Louisiana es el primer estado de EE. UU. En introducir un registro para MSP y proveedores de servicios de seguridad administrados (MSSP). Firmada el 11 de junio por el gobernador de Louisiana, John Bel Edwards, la legislación requerirá que todos los MSP y MSSP que trabajan con organismos públicos se registren en el estado.
Según Ardoin, Louisiana desarrolló su ley de registro de MSP a raíz de los ciberataques al gobierno estatal. Los incidentes incluyeron un ataque de ransomware en diciembre de 2019 que afectó a la ciudad de Nueva Orleans, lo que provocó que el alcalde de Nueva Orleans, LaToya Cantrell, declarara el estado de emergencia.
“Francamente, uno de los ataques me asustó lo suficiente porque estaba cerca de una elección”, señaló Ardoin. “Faltaban unos siete días para las elecciones. Si el ataque hubiera ocurrido más cerca de las elecciones, podríamos haber tenido [some] caos, porque teníamos una elección de gobernador muy reñida «.
Ardoin dijo que el FBI se puso en contacto con él y le explicó el papel que juegan los MSP y los MSSP como «conducto de estos ataques hacia estas entidades locales». En ese momento, dijo, nunca antes había oído hablar de los MSP o MSSP. “Mi preocupación era, ‘¿Quiénes son estas personas? Ni siquiera conocemos estas entidades ‘”, dijo.
El pensamiento detrás del registro MSP
Ardoin dijo que cree que los MSP deben ser transparentes con los clientes sobre sus capacidades de ciberseguridad. La ley tiene como objetivo facilitar una comunicación más abierta. «Entiendo que [cyber protection] es un negocio muy costoso … pero [MSPs and MSSPs] tienen que ser francos con sus clientes y decirles a qué niveles pueden protegerlos ”, dijo.
“Si no están siendo directos porque les preocupa perder negocios debido al costo, están haciendo un flaco favor… no solo a la entidad que están tratando de proteger sino a los ciudadanos que interactúan con esa agencia”, dijo. «Cuando se abren a los ataques y se divulga la información de identificación personal de los niños de la escuela, eso es problemático».
Señaló que sus creencias conservadoras sobre la regulación gubernamental dieron forma en parte a su enfoque de la ley de registro de MSP. “Creo que, en general, el mundo de las tecnologías de la información está pasando el rato sin ningún tipo de control y equilibrio. Pero… desde un punto de vista conservador, no estoy interesado en una regulación completa ”, dijo. «Me gustaría que la industria se regulara a sí misma y se educara a sí misma y a sus clientes antes de que el gobierno se involucre y lo arruine todo».
Dijo que espera que el registro aliente a los proveedores de servicios y las agencias gubernamentales a tener «un diálogo constructivo sin ninguna regulación estricta en este momento».
“Vamos a ver cómo [the MSP registration] una vez que se implemente … en febrero, y simplemente partiremos de allí ”, dijo Ardoin. “Creo que es un paso importante para nuestra comisión de ciberseguridad, para que nuestros socios federales como el FBI y otros puedan interactuar con estos [managed services] organizaciones a medida que avanzamos «.
El consejo de Ardoin para MSP, MSSP
Para ayudar a detener el aumento de ataques cibernéticos a entidades gubernamentales, los MSP y MSSP deben hablar y estar abiertos a trabajar con otros en la industria de TI para resolver problemas de manera conjunta, dijo Ardoin. También señaló las certificaciones de la industria de TI como un medio para que los MSP demuestren sus capacidades de seguridad a los clientes.
«Creo que la comunicación es clave y ser sincero», señaló.
Por temor a dañar la reputación, algunos MSP pueden intentar ocultar los incidentes de seguridad de TI cuando ocurren, pero Ardoin alentó a los MSP a cambiar sus actitudes sobre el estigma percibido. “Un consejo importante que tengo para aquellos que están en el negocio ahora y están preocupados por su reputación: todo el mundo está siendo atacado. Nadie está exento de esto «.
Además, instó a los MSP a entablar relaciones con el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad, Seguridad Nacional, Guardia Nacional, policía estatal y «cualquier comisión de seguridad cibernética creada o entidad creada por el gobierno estatal».
“Trate de ser una voz en el proceso para que todos aprendan juntos”, dijo Ardoin. “Es un enfoque de equipo. Trabajar en silos no resuelve nada «.