El ex alcalde de Nueva York, Rudy Giuliani, ha sido elegido para ser el nuevo “zar de la seguridad cibernética” del presidente. El nombramiento ha sido recibido con inquietud entre aquellos en el negocio de seguridad de la información que señalan la falta de experiencia del Sr. Giuliani en cualquier tema relacionado con la ciberseguridad, a pesar de ser presidente de la práctica de ciberseguridad, privacidad y gestión de crisis en una firma de abogados con sede en Miami y asesorar. empresas sobre seguridad de la información desde. De hecho, los críticos citan informes recientes que revelan que las contraseñas utilizadas por Giuliani y otros 13 altos miembros del personal se filtraron en violaciones masivas de sitios web como LinkedIn, MySpace y otros entre y.
Los antiguos zares: ¿hubo algún impacto en la postura de ciberseguridad?
Sin embargo, hay poca evidencia que sugiera que las dos personas que ocuparon el puesto anteriormente –uno de los cuales tenía sustancialmente más experiencia en seguridad cibernética– hayan tenido algún impacto notable en la mejora de la postura general de seguridad cibernética de Estados Unidos. En una reunión de la Comisión para la Mejora de la Ciberseguridad Nacional celebrada en septiembre de , se descubrió que “la responsabilidad, la rendición de cuentas y la capacidad” estaban mal alineadas en la formulación de políticas de seguridad cibernética hasta esa fecha.
Como se señaló, el primer Coordinador de Ciberseguridad (2009-2012), Howard Schmidt, tenía una amplia experiencia en tecnología y seguridad de la información, desempeñándose como director de seguridad de la información, director de seguridad de la información y director de seguridad de Microsoft .
Además, durante su carrera, Schmidt ocupó muchos puestos de alto nivel tanto en el sector público como en el privado en capacidades similares. Schmidt fue sucedido por Michael Daniel , un veterano de 17 años en la Oficina de Gestión y Presupuesto (OMB). Anteriormente, Daniel trabajó en cuestiones cibernéticas en la rama de inteligencia de la OMB –aunque principalmente desde el lado político– durante más de 10 años, antes de asumir el cargo en el que se desempeñó hasta el reciente nombramiento de Giuliani.
A pesar de que los dos zares anteriores tenían experiencia tecnológica y política práctica en seguridad cibernética, no parece haber habido ningún avance significativo para mejorar la postura de seguridad cibernética de Estados Unidos, particularmente en el lado gubernamental de la casa. De hecho, durante el mandato de Schmidt, mientras que una libreta de calificaciones del Instituto Nacional de Seguridad Cibernética que cubría el período-2010 daba al gobierno de Estados Unidos calificaciones aprobatorias en actividades relacionadas con la planificación estratégica y métricas de desempeño, el estudio reveló que le fue peor en la implementación de estas actividades.
No tanto… (según informes oficiales)
Durante el mandato de Daniel, una Oficina de Responsabilidad Gubernamental (GAO) de EE. UU. llegó a una conclusión similar al encontrar que entre y, la mayoría de las agencias contaban con las políticas necesarias para gestionar el riesgo, pero el número de agencias que informaron deficiencias en el manejo de los controles de seguridad de la información fue una “debilidad material” o una “deficiencia significativa”. De manera similar, si bien un informe de la Oficina de Administración y Presupuesto de febrero de sobre un período cibernético de 30 días para agencias federales mostró una mejora (específicamente, al obtener autenticación de dos factores para usuarios privilegiados, la mayoría de las agencias todavía eran vulnerables a los ataques cibernéticos más comunes ) . Informe de Sentar, una organización que ayuda a empresas y entidades gubernamentales a aprovechar tecnologías avanzadas, se hizo eco de estos sentimientos y clasificó al gobierno de EE. UU. en el último lugar de 18 industrias verticales en seguridad cibernética.
Pero, ¿es la falta de experiencia el mayor revés en este puesto o más bien una falta de autoridad? Como ex alcalde de la ciudad más grande de los Estados Unidos, Giuliani sirvió en la rama ejecutiva del gobierno, administrando todos los servicios de la ciudad, la propiedad pública, la policía y la protección contra incendios, la mayoría de las agencias públicas, estableciendo y asignando presupuestos y haciendo cumplir todas las leyes de la ciudad, el estado. y leyes federales. Su trabajo era garantizar que la ciudad cumpliera con sus deberes según la ley y ejerciera sus poderes. Como ejecutivo de una ciudad, un alcalde ejerce una influencia y autoridad sustanciales sobre una ciudad.
Críticas a las funciones y responsabilidades del Coordinador Cibernético
El Coordinador Cibernético ha sido más bien una posición política sin ninguna autoridad diaria sobre ninguno de los grupos que trabajan en seguridad cibernética. Los críticos han señalado que si bien el Coordinador Cibernético puede hacer recomendaciones, el puesto no tiene autoridad directa en lo que respecta al presupuesto, ni puede obligar a las agencias a cumplir con las pautas. Este parece ser el mayor punto de falla de la posición: la incapacidad del perro para dar el “mordisco” a su “ladrido”. Lo que sucede es un fracaso repetido de las agencias en la implementación de directrices y recomendaciones establecidas por el Coordinador u organizaciones como la GAO, la OMB y el Instituto Nacional de Estándares y Tecnología. Esta conclusión se repitió en un informe de.
Lo que sucede es un fracaso repetido de las agencias en la implementación de directrices y recomendaciones establecidas por el Coordinador u organizaciones como la GAO, la OMB y el Instituto Nacional de Estándares y Tecnología. Esta conclusión se repitió en un informe de la GAO de que se centró en la necesidad de las agencias estadounidenses de corregir las debilidades e implementar plenamente los programas de seguridad. Incluso Schmidt reconoció después de su renuncia que los esfuerzos de seguridad cibernética de Estados Unidos adolecen de una falta de ejecución y que muchas organizaciones tienen la capacidad de hacer lo que es necesario, pero carecen de enfoque para cumplir con esas capacidades.
Caso concreto: tras el hackeo de OPM de junio de, la Federación Estadounidense de Empleados Gubernamentales y el Sindicato de Empleados del Tesoro Nacional anunciaron que demandarían a OPM en nombre de sus 450.000 miembros combinados, alegando que la agencia sabía desde hacía años que su seguridad de red Era débil y vulnerable, pero no hizo nada al respecto. Reforzando esta afirmación está el informe de febrero de en el que la OMB encontró que la OPM se encontraba consistentemente en el nivel más bajo de los estándares básicos de seguridad. De manera similar, el Servicio de Impuestos Internos experimentó dos violaciones de datos importantes en y., una revelación desconcertante teniendo en cuenta que se ha citado con frecuencia que el IRS ha luchado con los mismos problemas graves de seguridad cibernética durante años, según un informe de preparado por el personal minoritario del Comité de Asuntos Gubernamentales y Seguridad Nacional. De hecho, un informe de la GAO de centrado en las prácticas de seguridad de la información del IRS concluyó que la agencia aún necesitaba poner en riesgo los datos financieros y de los contribuyentes.
Conclusión
Por lo tanto, parece que en realidad puede no importar si un funcionario de seguridad cibernética “1” y “0” con conocimientos dirige el puesto de Coordinador, un experto en políticas o un individuo bien versado en la gestión de grandes empresas multisectoriales. Sin las autoridades adecuadas para obligar a las agencias a mejorar significativamente sus posturas de seguridad cibernética mediante prácticas defensivas mejoradas, mandatos políticos y/o sanciones presupuestarias, el Coordinador seguirá siendo en gran medida una figura simbólica.
Esta es la parte que tiene que cambiar; No es el tipo de personas que han sido seleccionadas, es el hecho de que el puesto en sí carece de objetivos claros sobre lo que se supone que debe hacer y cómo se supone que debe hacerlo con éxito. Este puesto debe tener más poder o al menos ser extremadamente influyente con el individuo (por ejemplo, el presidente) o entidad que sí tiene poder.
De lo contrario, serán otros cuatro años de tocar la campana de la seguridad cibernética con menos personas y organizaciones escuchando su llamado.
Esta es una publicación invitada escrita por Emilio Iasiello.