La Casa Blanca dio a conocer el jueves su largamente esperado Estrategia Nacional de Ciberseguridad. La nueva política federal asigna gran parte de la responsabilidad de la seguridad digital a las empresas de tecnología en lugar de más regulaciones federales.
El documento de política insta a más mandatos a las empresas que controlan la mayor parte de la infraestructura digital de la nación. También predica un papel gubernamental ampliado para interrumpir a los piratas informáticos y las entidades patrocinadas por el estado.
Pero esta estrategia crea una hoja de ruta de seguridad cibernética para nuevas leyes y regulaciones en los próximos años con el objetivo de ayudar a los EE. UU. a prepararse y luchar contra las ciberamenazas emergentes. Marca el ritmo de las acciones gubernamentales a largo plazo que:
- Explorar un respaldo de seguro nacional en el caso de un ataque cibernético catastrófico para complementar el mercado de seguros cibernéticos existente;
- Centrarse en defender la infraestructura crítica ampliando los requisitos mínimos de seguridad en sectores específicos y simplificando las regulaciones;
- Trate el ransomware como una amenaza a la seguridad nacional, no solo como un problema criminal.
Eso pone en marcha un cambio de dirección fundamental en la visión de ciberseguridad del gobierno. El cambio de enfoque refleja cómo Estados Unidos asigna roles, responsabilidades y recursos en el ciberespacio.
También reequilibra la responsabilidad de defender el ciberespacio al trasladar la carga de la ciberseguridad de las personas, las pequeñas empresas y los gobiernos locales. En cambio, la responsabilidad recae en las organizaciones más capaces y mejor posicionadas para reducir los riesgos para todos nosotros, de acuerdo con las declaraciones de política.
“La Estrategia reconoce que el gobierno debe usar todas las herramientas del poder nacional de manera coordinada para proteger nuestra seguridad nacional, seguridad pública y prosperidad económica”, dijo la Casa Blanca en su anuncio.
El nuevo enfoque
La estrategia Biden-Harris busca construir y mejorar la colaboración en torno a cinco pilares:
- defender la infraestructura crítica;
- Interrumpir y desmantelar a los actores de amenazas;
- Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia;
- Invertir en un futuro resiliente a través de inversiones estratégicas y acciones coordinadas y colaborativas para liderar el mundo en la innovación de tecnologías e infraestructuras de próxima generación seguras y resilientes;
- Forjar alianzas internacionales para perseguir objetivos compartidos
Con esos estándares implementados, los aliados y socios globales recientemente aprovechados harán que el ecosistema digital de los Estados Unidos sea defendible, resistente y alineado con los valores, según la declaración de política.
Requisitos Federales de Seguridad Cibernética, Cumplimiento
El gobierno federal se está comprometiendo de manera visible y significativa a expandir los requisitos mínimos obligatorios de seguridad cibernética en sectores críticos, ofrecidos Cibervaina CEOEric Noonan.
Agregó que este es un reconocimiento refrescante del papel del gobierno federal y un abandono total de la estrategia original de 2003, que establecía que la regulación federal no sería un medio principal para asegurar el ciberespacio.
“Podría haber tomado 20 años, pero el gobierno federal ahora está diciendo la parte tranquila en voz alta. La falta de mínimos obligatorios de ciberseguridad ha fallado y se acercan los mandatos regulatorios, así que ponga su casa en orden”, dijo Noonan a TechNewsWorld.
La estrategia también deja en claro que cuando el gobierno no tenga la autoridad para exigir estándares mínimos, la administración trabajará con el Congreso para cerrar esas brechas y regular lo no regulado, observó.
Noonan predijo que se avecina un cambio radical en nuestra capacidad para detectar y defendernos de las ciberamenazas. Pero eso solo sucede si agencias como el DOD, la SEC, la FCC y el resto del gobierno federal usan todo el peso de sus poderes regulatorios para establecer y hacer cumplir los mínimos obligatorios de seguridad cibernética en sus respectivos contratistas y proveedores.
“Esa es la cosa más impactante que el gobierno federal puede hacer por la defensa cibernética de nuestra nación, y esta estrategia lo hace”, dijo.
Respaldo positivo de la UE
Martin Riley, director de servicios de seguridad administrados en la firma cibernética noviase complace en ver el cambio de actitud de los Estados Unidos con respecto a la ciberseguridad.
“Es genial ver que estos pasos entran en vigor. En Europa nos hemos encontrado en un lugar de liderazgo en muchas de estas áreas con regulaciones como NIS y GDPR impulsando la agenda durante años”, dijo Riley a TechNewsWorld.
Eso coloca a la Unión Europea en una excelente posición para ayudar a sus aliados de EE. UU. y guiarlos hacia el objetivo de la resiliencia cibernética, agregó. “Espero profundizar en los detalles para ver los incentivos que el gobierno de EE. UU. va a aplicar para que estas prácticas se adopten por igual en todos los estados y sectores relevantes”.
Empleo de tecnología actualizada Crucial
El informe enfatiza la modernización de la seguridad federal. Una parte crucial de esto debe ser acelerar la capacidad del gobierno para incorporar tecnologías de seguridad modernas y de próxima generación, aconsejó Marcus Fowler, director ejecutivo de trazo oscuro.
“Las agencias gubernamentales deben poder probar tecnologías de manera eficiente en entornos dinámicos que reflejen, tanto en escala como en complejidad, el entorno que se espera que defiendan”, dijo Fowler a TechNewsWorld.
Ofreció que los funcionarios de EE. UU. también se beneficiarían de trasladar las soluciones de seguridad validadas al frente de la línea y acelerar los plazos de auditoría obligatorios. En última instancia, cuando el gobierno federal obtiene acceso a soluciones de seguridad avanzadas más rápidamente, puede obligar a los atacantes a adaptarse rápidamente para tratar de mantener el ritmo.
“Es positivo ver que la nueva estrategia enfatiza la importancia de exigir ‘seguridad por diseño’ así como el enfoque en tecnologías sólidas y la creación de una mejor fuerza de trabajo cibernética”, dijo Fowler.
Elemento crítico tecnológico
La tecnología también será fundamental para mejorar la velocidad y la escala del intercambio de inteligencia sobre amenazas que exige el informe. La inteligencia de amenazas es vital, pero el panorama de amenazas es vasto y está creciendo.
“Las organizaciones necesitan tecnología que atraviese la inteligencia e identifique cómo una vulnerabilidad particular impacta su entorno único. Necesitan esa información rápidamente”, recomendó Fowler.
Destilar esa información y traducirla en una estrategia basada en el riesgo organizacional personalizado es un trabajo para la tecnología. Ya no podemos poner la responsabilidad en los humanos porque necesitan ser liberados para la estrategia y la remediación, dijo.
El futuro es donde un enfoque híbrido humano-IA para cibernético es esencial. La búsqueda es encontrar una fuerza laboral cibernética más fuerte, más robusta y mejor capacitada, señaló Fowler.
“Eso debe ejecutarse con programas innovadores y accesibles que estén creciendo e invirtiendo en la próxima generación de profesionales de la seguridad y aumentándolos para avanzar más rápido y aumentar la eficiencia de la carga de trabajo y acelerar los tiempos de respuesta”, dijo.
Capacitación continua, preparación necesaria
Desafortunadamente, los nuevos esfuerzos de seguridad cibernética de la administración no mueven la aguja sobre lo que se debe hacer para fortalecer la fuerza laboral de seguridad que tenemos hoy, advirtió Debbie Gordon, fundadora y directora ejecutiva de rango de nubesuna empresa de capacitación en simulación de ciberataques OT/ICS de fuego real.
“En cualquier tipo de campo de seguridad de la vida, y eso es exactamente lo que representa la ciberseguridad de la infraestructura crítica, la necesidad de capacitación y preparación continuas es integral”, dijo Gordon a TechNewsWorld.
El panorama de las amenazas cibernéticas cambia a diario, y los sectores de infraestructura crítica son el objetivo de las amenazas persistentes avanzadas (APT) más avanzadas respaldadas por los estados nacionales. No podemos depender de un certificado de capacitación anual para estar seguros de que nuestra infraestructura está protegida, aconsejó.
“Los requisitos de capacitación continua que se pueden comparar con los marcos estándar de la industria para validar su eficacia no solo pueden ayudar a las organizaciones a garantizar que cuentan con las personas adecuadas con las habilidades adecuadas para prevenir y responder a los ataques. También pueden proporcionar a los profesionales de la ciberseguridad un camino claro para expandir sus carreras con las habilidades cibernéticas exclusivas de la ciberseguridad de la tecnología operativa (OT)”, dijo Gordon.