A finales de julio de, el Departamento de Seguridad Nacional (DHS) anunció la creación del Centro Nacional de Gestión de Riesgos, una nueva organización dedicada a la evaluación de amenazas, en particular en lo que respecta a posibles ataques contra la infraestructura crítica de EE. UU. Según informes de prensa , el centro comenzará inicialmente por centrarse en los sectores de energía, finanzas y telecomunicaciones. Esta nueva iniciativa está diseñada para mejorar la evaluación de riesgos en las infraestructuras críticas y servir como la principal » ventanilla única » para ayudar a las empresas privadas a gestionar sus riesgos de seguridad cibernética.
Coincidiendo con este anuncio está la “ Ley de Equipos de Respuesta a Incidentes Cibernéticos de” del DHS, liderada por el Congreso, que busca crear equipos permanentes de respuesta a incidentes y búsqueda de amenazas en el DHS. Dicho proyecto de ley faculta aún más al DHS para ayudar a mejorar la seguridad cibernética a través de profesionales capacitados para mitigar y remediar incidentes cibernéticos contra entidades federales y entidades de infraestructura crítica. El proyecto de ley fue aprobado por la Cámara de Representantes el 19 de marzo de y pasa al Senado para su consideración.
Estos desarrollos vienen inmediatamente después del informe de abril de de la Oficina de Contabilidad Gubernamental ( GAO ), que encontró que el DHS necesitaba intensificar sus esfuerzos para mejorar y promover la seguridad de las redes del sector federal y privado. El DHS ha recibido un apoyo sustancial del gobierno por su papel centralizado en la seguridad cibernética de los sectores público y privado. De hecho, el DHS tiene varias iniciativas cibernéticas en preparación, todas las cuales requerirán los recursos fiscales, materiales y de personal necesarios para tener éxito. Varios proyectos de ley de financiaciónabogar por una mayor financiación para los diversos esfuerzos cibernéticos del DHS. Si bien el dinero es bueno, un plan implementado es mejor y ahí es donde el Centro Nacional de Gestión de Riesgos y el apoyo del Congreso brindan un comienzo muy prometedor. Se puede argumentar que a Estados Unidos no le han faltado tanto estrategias de seguridad cibernética como la ejecución de esas estrategias.
Los objetivos del Centro Nacional de Gestión de Riesgos son ciertamente elevados y representan una lucha cuesta arriba casi de Sísifo debido al tamaño del espacio de infraestructura crítica. Según su sitio web oficial , el DHS ha identificado 16 infraestructuras críticas que incluyen los siguientes sectores: químico; Instalaciones Comerciales; Comunicaciones; Manufactura Crítica; Represas; Base Industrial de Defensa; Servicios de emergencia; Energía; Servicios financieros; Comida y Agricultura; Instalaciones gubernamentales; Atención Sanitaria y Salud Pública; Tecnologías de la información; Reactores, Materiales y Residuos Nucleares; Transporte; y Agua y Aguas Residuales.
Incluso tomándolos en lotes, el aspecto dinámico del ciberespacio y la innovación en tecnología de la información requerirá un monitoreo constante de cada sector y ajustar la gestión de riesgos en consecuencia. Eso significa que el trabajo no puede abordarse con una mentalidad de “una vez hecho” y exigirá un mejor flujo de información sobre amenazas de todos los accionistas. Esto ha sido una espina constante en los esfuerzos de seguridad cibernética entre los sectores público y privado. Para combatir el intercambio de información tacaño, algunoshan pedido un programa de incentivos liderado por el DHS para mejorar el intercambio de información, lo que parece ridículo dado lo que se sabe sobre lo que sucede cuando la seguridad cibernética no se toma en serio. Si el sector privado necesita tal incentivo para entablar relaciones que mejoren sus posturas de seguridad cibernética, entonces es evidente que su enfoque sigue siendo sus resultados finales y no los entornos seguros.
Cualquier esfuerzo por mejorar la ciberseguridad (en cualquier nivel, pero especialmente en las infraestructuras críticas) es un avance positivo. Reconocer que hay un problema es una cosa; pero implementar una solución es otra. El Centro Nacional de Gestión de Riesgos es un paso hacia la implementación de dicha solución. Pero es sólo un paso. Muchas organizaciones se han levantado para abordar el vacío. Actualmente existenentros de Análisis e Intercambio de Información ( ISAC ) específicos del sector, entidades formadas para ayudar a los propietarios y operadores de infraestructuras críticas a proteger sus instalaciones, personal y clientes de amenazas a la seguridad física y cibernética y otros peligros.
No está claro si el Centro Nacional de Gestión de Riesgos trabajará con estas entidades o las reemplazará. Según una fuente , dos años después del programa de intercambio automatizado de indicadores establecido por el DHS, solo seis organizaciones no federales lo utilizaban para compartir indicadores de amenazas con el gobierno. Esto plantea la pregunta: si el sector privado actualmente no comparte información, ¿qué obligará a las entidades de infraestructura crítica a hacerlo con el Centro Nacional de Gestión de Riesgos? La confianza es la piedra angular de cualquier acuerdo de intercambio de información, y si actualmente solo seis organizaciones del sector privado comparten información sobre amenazas con el DHS, parece haber una falta de confianza o una falta de utilidad de la información sobre amenazas que se comparte.
Hay muchos avances positivos que sacar del Centro y del proyecto de ley que parece estar en condiciones de convertirse en ley. Pero ahí es cuando comienza el verdadero trabajo. El verdadero objetivo es lograr que las partes interesadas se unan y que se conviertan en participantes activos en el proceso de seguridad cibernética. Lamentablemente, ha sido el único objetivo que ha eludido la cooperación público-privada. Queda por ver si esto continuará una vez que el Centro Nacional de Gestión de Riesgos despegue.
Esta es una publicación invitada de Emilio Iasiello.