El 11 de mayo finalmente se firmó la Orden Ejecutiva (EO) del presidente de los Estados Unidos “Fortalecimiento de la ciberseguridad de las redes federales y la infraestructura crítica”. Esta EO tan esperada llega inmediatamente después de versiones anteriores filtradas a lo largo de la primera parte de. Cada iteración filtrada posterior: el Washington Post publicó un borrador en enero, el Lawfare Blog publicó una revisión en febrero y la versión más completa La iteración se filtró a principios de mayo y también fue publicada por el Blog Lawfare.
Poner el marco NIST en el centro
Consistente en las versiones anteriores es la necesidad de que las agencias gubernamentales aprovechen el Marco del Instituto Nacional de Estándares y Tecnología (NIST) para mejorar la ciberseguridad de la infraestructura crítica para obtener asistencia en la implementación de un enfoque de gestión de riesgos cibernéticos al realizar una autoevaluación y capturar los resultados en un informe finalizado. Hubo críticas de que el borrador inicial de la EO era más una simbología que una solución al problema más amplio de salvaguardar redes importantes. La segunda versión pareció una mejora con respecto a la primera y, como indicó una revisión , puso más énfasis en la preparación de las organizaciones federales para abordar las amenazas cibernéticas, proporcionando recomendaciones más específicas. El tercer borradorproporcionó más fidelidad a la modernización de las redes informáticas federales.
evolución continua
La EO final muestra una evolución continua en el desarrollo del pensamiento sobre seguridad cibernética. Como era de esperar, cada versión posterior ha sido más larga que su predecesora, lo que sugiere que se ha dedicado un mayor esfuerzo a identificar orientaciones más aplicables en lugar de ocultar detalles específicos, y tal vez incertidumbre, bajo la ambigüedad que acompaña al lenguaje estratégico. Por ejemplo, el documento final proporciona pasos claros que una agencia debe tomar al implementar el marco del NIST, incluida la documentación de las opciones de aceptación y mitigación de riesgos; las consideraciones estratégicas, operativas y presupuestarias que fundamentaron esas elecciones; y el plan de acción diseñado para implementar el marco.
Proporcionar orientación explícita
Obligar a las agencias a aprovechar el marco del NIST es positivo, ya que proporciona orientación explícita para las agencias federales. No solo brinda una estructura para que las organizaciones federales gestionen su riesgo cibernético, sino que también brinda uniformidad y coherencia, reuniendo a todas las partes interesadas relevantes bajo el mismo paraguas de seguridad. Mientras que en el pasado cada agencia era responsable de su propia seguridad, la forma en que realizaban y cumplían esta tarea variaba. Ahora, si bien la responsabilidad seguirá recayendo en cada agencia, la forma en que se ejecutará será más congruente.
Además, la adhesión a la implementación de la gestión de riesgos cibernéticos en todo el dominio digital federal es refrescante porque acepta las realidades del complejo entorno de amenazas cibernéticas actual. Obligar a las agencias a identificar información y redes críticas y realizar autoevaluaciones rigurosas de seguridad cibernética las obliga a tomar decisiones difíciles pero importantes sobre los tipos de riesgo que están dispuestas y no dispuestas a aceptar. Esto, a su vez, coloca la responsabilidad de la seguridad cibernética no sólo directamente en el regazo del departamento de TI, sino también en el jefe de la agencia que será responsable de tales decisiones y, en última instancia, rendirá cuentas de ellas.
Énfasis en el desarrollo de la fuerza laboral
Otra adición importante a la EO final es el énfasis en el desarrollo de la fuerza laboral. Recientemente, se han publicado varios artículos que destacan la escasez de profesionales de la seguridad cibernética en el mercado y las dificultades que esto puede imponer a las organizaciones públicas y privadas. Este problema es global; un informeencontró que la fuerza laboral global de seguridad cibernética tendrá más de 1,5 millones de puestos vacantes para. La última versión de la EO dirige revisiones nacionales e internacionales de la fuerza laboral de seguridad cibernética para evaluar mejor la posición de EE. UU. con respecto a su posición en la comunidad global. Aunque nada en la EO proporciona un plan de acción para mejorar esta situación, realizar evaluaciones es un primer paso fundamental para identificar áreas de mejora y, a su vez, ayudar a desarrollar el sostenimiento y el crecimiento en esta área.
Es de destacar que una inclusión clave en la EO final es la dirección del Director de Inteligencia Nacional de llevar a cabo una revisión similar de los esfuerzos de desarrollo de la fuerza laboral de sus pares cibernéticos extranjeros para comprender cómo su progreso podría impactar la competitividad a largo plazo de las empresas cibernéticas estadounidenses. seguridad. De esta manera, la EO insinúa que no basta con comprender la postura de seguridad cibernética de Estados Unidos, sino que es imperativo medir cómo se compara con el resto del mundo, incluidos aliados, adversarios y naciones amigas. La autoconciencia no distorsionada es más beneficiosa cuando se coloca en un contexto más amplio. Dada la naturaleza interconectada del ciberespacio, saber cuál es la posición de los demás en relación con Estados Unidos es esencial para tomar decisiones informadas.
Conclusión
Si bien originalmente se pretendía firmar esta EO en enero de, el aplazamiento ha permitido a la Casa Blanca invertir tiempo y esfuerzo muy necesarios en identificar aquellas áreas críticas que deben abordarse de inmediato. Más importante aún, proporciona cursos de acción específicos a tomar e identifica y empodera a los líderes de las agencias cuya responsabilidad es administrar estos esfuerzos. En última instancia, la OE se ha beneficiado al no apresurarse en la publicación a pesar de la gran anticipación. La ciberseguridad, especialmente a nivel gubernamental, necesita enfoques más pragmáticos y deliberados para mejorar. Como ha habido muchos pasos en falso al tratar de abordar los desafíos planteados por el ciberespacio en el pasado, tomarse el tiempo para hacerlo mejor en lugar de hacerlo rápidamente es un cambio bienvenido y necesario.
Esta es una publicación invitada escrita por Emilio Iasiello.