Una alerta de vulnerabilidad de aseguramiento de la información ( IAVA ) es un anuncio de una notificación de vulnerabilidad de software de aplicación informática o sistema operativo en forma de alertas, boletines y avisos técnicos identificados por US-CERT, https://www.us-cert.gov/ US-CERT es administrado por el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC), que es parte de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), dentro del Departamento de Seguridad Nacional de EE. UU. (DHS). CISA, que incluye el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC), realineó su estructura organizativa en 2017, integrando funciones similares que anteriormente realizaban de forma independiente el Equipo de Preparación para Emergencias Informáticas de EE. UU. (US-CERT) y el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS). -CERT). Estas vulnerabilidades seleccionadas son la línea de base obligatoria o la configuración mínima de todos los hosts que residen en el GIG . US-CERT analiza cada vulnerabilidady determina si es necesario o beneficioso para el Departamento de Defensa liberarlo como IAVA. La implementación de la política de IAVA ayudará a garantizar que los componentes del DoD tomen las medidas de mitigación adecuadas contra las vulnerabilidades para evitar compromisos graves en los activos del sistema informático del DoD que podrían degradar el rendimiento de la misión.
Se requiere que los comandos , servicios, agencias y actividades de campo combatientes implementen notificaciones de vulnerabilidad en forma de alertas, boletines y avisos técnicos. USCYBERCOM tiene la autoridad para dirigir acciones correctivas, que en última instancia pueden incluir la desconexión de cualquier enclave, o sistema afectado en el enclave, que no cumpla con las directivas del programa IAVA y las medidas de respuesta de vulnerabilidad (es decir, órdenes o mensajes de tareas de comunicación). USCYBERCOM se coordinará con todas las organizaciones afectadas para determinar el impacto operativo en el DoD antes de instituir una desconexión.
El 16 de noviembre de 2018, el presidente Trump promulgó la Ley de la Agencia de Seguridad de Infraestructura y Ciberseguridad de 2018 . Esta legislación histórica elevó la misión de la antigua Dirección de Programas y Protección Nacional (NPPD) dentro del Departamento de Seguridad Nacional (DHS) y estableció CISA, que incluye el Centro Nacional de Integración de Comunicaciones y Seguridad Cibernética (NCCIC). El NCCIC realineó su estructura organizativa en 2017, integrando funciones similares que anteriormente realizaban de forma independiente el Equipo de Preparación para Emergencias Informáticas de EE. UU. (US-CERT) y el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT). Según el memorándum, el sistema de alerta debería:
El subsecretario de Defensa emitió un memorando de política de alerta de vulnerabilidad de seguridad de la información (IAVA) el 30 de diciembre de 1999. Los eventos actuales de la época demostraron que existen vulnerabilidades ampliamente conocidas en las redes del Departamento de Defensa, con el potencial de degradar gravemente el rendimiento de la misión. El memorando de política instruye a DISA a desarrollar y mantener un sistema de base de datos IAVA que garantizaría un mecanismo de control positivo para que los administradores del sistema reciban, reconozcan y cumplan con las notificaciones de alerta de vulnerabilidad del sistema. La política de IAVA requiere que los Comandos de componentes , los Servicios y las Agencias se registren e informen su reconocimiento y cumplimiento con la base de datos de IAVA.. De acuerdo con el memorando de política, los datos de cumplimiento que deben informarse deben incluir la cantidad de activos afectados, la cantidad de activos en cumplimiento y la cantidad de activos con exenciones.