Autor
Brian Wright
En marzo, la administración de Biden publicó la Estrategia Nacional de Ciberseguridad (National Cybersecurity Strategy, NCS) “para asegurar todos los beneficios de un ecosistema digital seguro para todos los estadounidenses”. Desde el punto de vista de la administración, el ciberespacio es una herramienta para lograr una serie de objetivos elevados, entre ellos prosperidad económica, derechos humanos, libertad, democracia y una sociedad equitativa y diversa. Según la Casa Blanca, es una visión que se basa en hacer “cambios fundamentales en la forma en que Estados Unidos asigna roles, responsabilidades y recursos en el ciberespacio”.
El NCS establece cinco principios o pilares fundacionales sobre los cuales desarrollar la estrategia para alcanzar sus objetivos:
- Defender la infraestructura crítica
- Interrumpir y desarmar a los actores de amenazas
- Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia
- Invierta en un futuro resiliente
- Forjar asociaciones internacionales para perseguir objetivos compartidos
La Estrategia de ciberseguridad contempla además cambios en las políticas que podrían avanzar en esos objetivos. En particular, la Casa Blanca ha propuesto cambiar la responsabilidad de mejorar la ciberseguridad a proveedores del sector privado que desarrollan hardware y software de TI. Muchos de los detalles aún no se han resuelto.
En general, el NCS es un paso fuerte y decisivo en la dirección de una ciberseguridad mejorada. El plan se centra inquebrantablemente en el “ciber” en ciberseguridad. El documento está repleto de referencias a activos digitales, software, Internet e Internet de las cosas, capacidades inalámbricas y activos basados en el espacio. El NCS menciona “ciber” casi 300 veces.
Necesidad de centrarse en la infraestructura física
Menos prominentes en el NCS son ciertos componentes físicos indispensables de las redes y el ciberespacio. Me refiero a los dispositivos electrónicos —portátiles, teléfonos móviles, tabletas, conmutadores de red, sensores— la infraestructura física y los terminales de las redes, virtuales y de otro tipo. Estos dispositivos permiten el enrutamiento, el transporte y el almacenamiento de datos. Proporcionan interfaces que permiten a los usuarios humanos intercambiar información en redes globales. El término “dispositivo” aparece en el NCS seis veces.
Esto no es para sugerir que la estrategia de ciberseguridad descuida la infraestructura física. No lo hace. Sin embargo, el NCS presenta una visión de las redes y la ciberseguridad que está sesgada hacia lo virtual, no inusual en los debates de ciberseguridad, con la exclusión de los dispositivos y componentes electrónicos y la importancia de protegerlos.
Mencionamos el desequilibrio mediante el fomento de un esfuerzo proporcional al tiempo que se allana el camino hacia una mayor ciberseguridad. Llegar allí tendrá un slog. Recordemos que el ciberespacio y el “mundo virtual” no son tan virtuales como nos gustaría creer. La nube es una colección de enormes granjas de servidores terrestres, y los cables en la parte inferior de los océanos del mundo transmiten más del 95 % de los datos internacionales. Esos cables sumergidos están fuera del alcance del NCS, pero el punto sigue siendo: la comunicación digital es una propuesta muy física, y los dispositivos electrónicos de todo tipo deben estar protegidos.
Establecimiento de un modelo de confianza cero
Aunque la administración no ha abordado directamente el problema de infraestructura física en el NCS, ha intentado hacerlo en documentos anteriores. En particular, en la Orden Ejecutiva (EO) 14028, “Mejorar la ciberseguridad de la nación”, que exige a las agencias que recurran a principios de seguridad perimetral a favor de la sofisticada arquitectura de ciberseguridad Zero Trust. De acuerdo con la EO, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) desarrolló un Modelo de Madurez de Confianza Cero que comprende cinco principios de ciberseguridad moderna: identidad, dispositivos, red, datos y aplicaciones y cargas de trabajo. El modelo de madurez también se alinea con la estrategia de confianza cero de la Oficina de Gestión y Presupuesto (OMB), una hoja de ruta para implementar la confianza cero.
El desafío será implementar múltiples planes superpuestos de una manera sistemática, eficiente e integral.
Apuntar la ciberseguridad del país es una prioridad de la administración, claramente. Igual de evidente es la necesidad de proteger todos los aspectos de nuestras redes, incluidos los dispositivos electrónicos, hasta la última tableta, sensor y conmutador de red. A medida que avanzamos juntos, las agencias gubernamentales y los proveedores de TI, debemos estar atentos y ser minuciosos.
Para ser realmente seguros, no debemos dejar ningún dispositivo sin girar.
¿Desea obtener más información? Vea cómo las principales agencias federales de EE. UU. actualizan su infraestructura física, impulsan los esfuerzos de ciberseguridad y aprovechan los análisis de vanguardia. Acompaña al autor Brian Wright en un exclusivo webcast de GovExec.
