El pasado 12 de mayo, el presidente de Estados Unidos Jose Biden firmo una Orden Ejecutiva para mejorar la seguridad cibernética, protegiendo de mejor forma la nación y las redes de gobierno federal. Esta orden tiene como objetivos pasar a una arquitectura o servicios en la nube, mantener una seguridad de confianza cero y mejorar el intercambio de información sobre amenazas entre el gobierno y el sector privado.
En temas de modernización un punto importante fue aumentar los estándares de seguridad, avanzando hacia la arquitectura de confianza cero, acelerando los servicios seguros en la nube, incluido el software como servicio (SaaS), la infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS). De esa forma centralizar y optimizar el acceso a los datos de ciberseguridad impulsando un mejor análisis e identificación amenazas.
“El gobierno federal debe utilizar todo el alcance de sus autoridades y recursos para proteger y asegurar sus sistemas informáticos, ya sean basados en la nube, locales o híbridos”, dice la orden.
Al mismo tiempo, mejorar los actuales contratos que pueden limitar el intercambio de información con los departamentos y agencias responsables de investigar como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y otros elementos de la Comunidad de Inteligencia (IC).
“Los recientes incidentes de ciberseguridad, como SolarWinds, Microsoft Exchange y el incidente del Colonial Pipeline, son un recordatorio aleccionador de que las entidades del sector público y privado de EE. UU. Enfrentan cada vez más una actividad cibernética maliciosa sofisticada tanto de los actores estatales como de los ciberdelincuentes” informo en el comunicado de prensa la Casa Blanca.
La orden crea un manual de estrategias de seguridad cibernética estandarizado para “garantizar que todas las agencias federales cumplan con un cierto umbral y estén preparadas para tomar medidas uniformes para identificar y mitigar una amenaza”, los últimos incidentes “han demostrado que dentro del gobierno el nivel de madurez de los planes de respuesta varía ampliamente”
La orden ejecutiva emitida recoge varios puntos importantes
- Eliminar las barreras al intercambio de información sobre amenazas entre el gobierno y el sector privado.
- Modernizar e implementar estándares de ciberseguridad más estrictos en el gobierno federal.
- Mejorar la seguridad de la cadena de suministro de software.
- Establecimiento de una Junta de Revisión de Seguridad Cibernética.
- Cree un manual de estrategias estándar para responder a incidentes cibernéticos.
- Mejorar la detección de incidentes de ciberseguridad en las redes del gobierno federal.
- Mejorar las capacidades de investigación y remediación.
En empresas del sector privado “toman su propia determinación con respecto a la ciberseguridad”. Pero se espera que estos nuevos estándares sean adoptados también por el sector privado, ya que parte de los ciberataques van dirigidos a infraestructura crítica que se encuentra administrada por ellos.
