El Presidente de Estados Unidos ha firmado una orden ejecutiva que otorga al poder ejecutivo mayor control sobre los asuntos de seguridad informática, y obliga a sus agencias federales a hacer una revisión completa del estado de su seguridad en los próximos 90 días.
Estaba planeado el lanzamiento de la orden ejecutiva a finales de enero, pero fue pospuesta para pulir los detalles del documento. La orden tiene tres propósitos establecidos: proteger las redes federales, la infraestructura crítica y al público de Internet.
Los jefes de las agencias federales están obligados a implementar un nuevo marco de protección desarrollado por el NIST (National Institute of Standards and Technology) para evaluar el riesgo que corre cada institución. Durante los próximos 90 días, las agencias deben evaluar el estado de sus sistemas de acuerdo a estos nuevos parámetros, y elaborar un informe explicando qué cambios harán para proteger sus sistemas.
El marco fue desarrollado por expertos en informática combinando esfuerzos del sector público y privado, y se define como “un lenguaje común para comprender, administrar y expresar los riesgos de seguridad tanto de forma interna como externa”.
Un cambio importante es que, hasta ahora, el equipo de TI era el que llevaba la culpa cuando ocurría cualquier incidente de seguridad que pudiera afectar a la agencia. Sin embargo, el nuevo documento considera responsables a los jefes de cada agencia. “Que la responsabilidad sea de los jefes de agencias y departamentos es una medida clave”, dijo Steve Grobman, de la empresa de seguridad McAfee. “No hay ninguna diferencia entre esto y la forma de manejarse de las compañías en que, aunque el Director Ejecutivo no sea experto en seguridad, tiene la responsabilidad final de implementar un plan de seguridad informática que mitigue los riesgos del negocio”.
Estas nuevas medidas de estandarización vienen acompañadas de esfuerzos por unir a las agencias en un lugar común. “Debemos movernos a la Nube para protegernos en vez de fracturar nuestras posturas de seguridad”, explicó Tom Bossert, Asesor de Seguridad Nacional. “Si no nos movemos a servicios compartidos, tenemos 190 agencias que están tratando de desarrollar sus propias defensas cada cual por su lado”, agregó.
El documento también aborda temas de protección cibernética de infraestructuras críticas como plantas de energía y el sector financiero, que si bien no siempre son dependientes del gobierno, su funcionamiento eficiente y seguro es primordial para el bienestar de sus ciudadanos.
Por último, la orden aborda el problema de la falta de expertos en seguridad informática en los Estados Unidos. Exige a las agencias gubernamentales y sus jefes que “evalúen en conjunto si están haciendo suficientes esfuerzos para educar y entrenar a las fuerzas de trabajo estadounidenses de ciberseguridad para el futuro, facilitando la educación para la seguridad informática con talleres, prácticas profesionales y pasantías que incluyan a un público desde la primaria hasta la educación superior”.