Biden Jr.: Primeros Pasos en la Arena de la Ciberseguridad

Autor: Mariana P. Torerro para Ciberprisma

El 12 de mayo del 2021 el Presidente Biden Jr. emitió una resolución a fin de mejorar la ciberseguridad de los Estados Unidos. A continuación te contamos algunos de los aspectos principales establecidos en el documento:

• Lineamientos Políticos

Estados Unidos se enfrenta a campañas cibernéticas maliciosas persistentes y cada vez más sofisticadas que amenazan al sector público, al sector privado y, en última instancia, a la seguridad y privacidad del pueblo estadounidense. El Gobierno Federal debe mejorar sus esfuerzos para identificar, disuadir, proteger, detectar y responder a estas acciones y actores. La ciberseguridad requiere que el Gobierno Federal se asocie con el sector privado.

La resolución resalta la necesidad del Gobierno Federal de realizar cambios estratégicos e inversiones significativas para defender las instituciones vitales que sustentan el estilo de vida estadounidense y para ello debe utilizar todo el potencial de sus autoridades y recursos para proteger y asegurar sus sistemas informáticos, ya sean basados en la nube, locales o híbridos. El alcance de la protección y seguridad debe incluir sistemas que procesen datos (tecnología de la información (TI)) y aquellos que ejecutan la maquinaria vital que garantiza la seguridad (tecnología operativa (OT)).

• Intercambio de información sobre amenazas.

En el apartado 2, y con el fin de llevar a cabo una variedad de funciones diarias en los sistemas de información el Gobierno Federal necesita contratar a proveedores de servicios de TI y OT. Eliminar estas barreras contractuales y aumentar el intercambio de información sobre amenazas, incidentes y riesgos son pasos necesarios para acelerar los esfuerzos de prevención, respuesta y desvío de incidentes y para permitir una defensa más efectiva de los sistemas de las agencias y de la información recopilada, procesada y mantenida por o para el Gobierno Federal.

• Modernización de la ciberseguridad del Gobierno Federal.

Para mantenerse al día con el entorno actual de amenazas cibernéticas dinámico y cada vez más sofisticado, el Gobierno Federal en este aspecto debe tomar medidas decisivas para modernizar su enfoque de la seguridad cibernética, incluso aumentando la visibilidad del Gobierno Federal de las amenazas, al mismo tiempo que protege la privacidad y las libertades civiles. Asimismo, el Gobierno Federal debe adoptar las mejores prácticas de seguridad; avanzar hacia la Arquitectura Zero Trust; acelerar el movimiento hacia servicios seguros en la nube, incluido el software como servicio (SaaS), la infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS); centralizar y optimizar el acceso a los datos de ciberseguridad para impulsar el análisis para identificar y gestionar los riesgos de ciberseguridad; e invertir tanto en tecnología como en personal para alcanzar estos objetivos de modernización.

• Seguridad de la cadena de suministro de software.

En aras de la mejorar la seguridad en general, la seguridad del software utilizado por el Gobierno Federal es vital para su capacidad de realizar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, suficiente enfoque en la capacidad del software para resistir ataques y controles adecuados para evitar la manipulación por parte de los malintencionados. Existe por lo tanto, una necesidad imperiosa de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto. La seguridad e integridad del “software crítico” – software que realiza funciones críticas para la confianza (como otorgar o requerir privilegios de sistema elevados o acceso directo a redes y recursos informáticos) – es una preocupación particular. En consecuencia, el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad y la integridad de la cadena de suministro de software, con una prioridad en el tratamiento del software crítico.

Con respecto a las pautas establecidas, éstas deben incluir criterios que puedan usarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los desarrolladores y proveedores mismos, e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.

• Junta de Revisión de Seguridad Cibernética.

En el punto 5 se determina el procedimiento de creación de la Junta de Revisión de Seguridad Cibernética y las funciones que deberá cumplir. Así, el Secretario de Seguridad Nacional, en consulta con el Fiscal General, establecerá la Junta de Revisión de Seguridad Cibernética (Junta), de conformidad con la sección 871 de la Ley de Seguridad Nacional de 2002 (6 U.S.C.451). La Junta revisará y evaluará, con respecto a los incidentes cibernéticos significativos (como se define en la Directiva de Política Presidencial 41 del 26 de julio de 2016 (Coordinación de Incidentes Cibernéticos de los Estados Unidos) (PPD 41)) que afecten a los Sistemas de Información de FCEB o sistemas no federales, actividad de amenaza, vulnerabilidades, actividades de mitigación y respuestas de los organismos de gobierno.

• Estandarización del manual de estrategias del Gobierno Federal para responder a las vulnerabilidades e incidentes de ciberseguridad.

Actualmente, los procedimientos de respuesta a incidentes y vulnerabilidad de seguridad cibernética que se utilizan para identificar, remediar y recuperarse de vulnerabilidades e incidentes que afectan los sistemas varían entre agencias, lo que dificulta la capacidad de las agencias líderes para analizar vulnerabilidades e incidentes de manera más completa entre agencias. Por ello, este apartado está destinado a la necesidad de estandarizar los procesos de respuesta a fin de garantizar un catálogo de incidentes más coordinado y centralizado y un seguimiento del progreso de los organismos gubernamentales hacia respuestas exitosas.

Dentro de los 120 días siguientes a la fecha de esta orden, el Secretario de Seguridad Nacional actuando a través del Director de CISA, en consulta con el Director de OMB, el Consejo de Oficiales Jefes de Información Federal y el Consejo de Seguridad de la Información en Jefe Federal, y en coordinación con el Secretario de La defensa, actuando a través del Director de la NSA, el Fiscal General y el Director de Inteligencia Nacional, desarrollará un conjunto estándar de procedimientos operativos que se utilizará en la planificación y realización de una actividad de respuesta a incidentes y vulnerabilidad de ciberseguridad respetando los sistemas de información del FCEB.

Para garantizar la exhaustividad de las actividades de respuesta a incidentes y generar confianza en que los ciberactores no autorizados ya no tengan acceso a los sistemas de información de FCEB, el manual de estrategias establecerá, de conformidad con la ley aplicable, un requisito de que el Director de CISA revise y valide la respuesta y remediación de incidentes de las agencias de FCEB.

• Detección de vulnerabilidades e incidentes de ciberseguridad en las redes del Gobierno Federal.

Para maximizar la detección temprana de vulnerabilidades e incidentes de ciberseguridad en sus redes el Gobierno Federal empleará todos los recursos y autoridades apropiados. Este enfoque incluirá el aumento de la visibilidad del Gobierno Federal y la detección de vulnerabilidades y amenazas de seguridad cibernética a las redes de los organismos gubernamentales con el fin de refrenar los esfuerzos de seguridad cibernética del Gobierno Federal.

Las Agencias de FCEB deberán implementar una iniciativa de Detección y Respuesta de Endpoint (EDR) para apoyar la detección proactiva de incidentes de ciberseguridad dentro de la infraestructura del Gobierno Federal, caza cibernética activa, contención y remediación, y respuesta a incidentes.

 El Director de OMB trabajará con el Secretario de Seguridad Nacional y los jefes de agencia para asegurar que las agencias tengan los recursos adecuados para cumplir con los requisitos aquí emitidos.

• Capacidad de investigación y reparación del Gobierno Federal.

La información de los registros de la red y del Sistema Federal de Información es invaluable tanto para fines de investigación como de remediación. Por lo tanto, es esencial que las agencias y sus proveedores de servicios de TI recopilen y mantengan dichos datos y, cuando sea necesario para abordar un incidente cibernético en los sistemas de información del FCEB, los proporcionen cuando lo soliciten al Secretario de Seguridad Nacional a través del Director de CISA y al FBI, de conformidad con la ley aplicable.

La protección de los registros mediante métodos criptográficos es fundamental para garantizar la integridad una vez que se recopilen y verifiquen. Asimismo, se establece que la conservación de los datos se realizará de forma coherente con todas las leyes y normativas de privacidad aplicables.

• Sistemas de seguridad nacional.

Dentro de los 60 días siguientes a la fecha de esta orden, el Secretario de Defensa actuando a través del Gerente Nacional, en coordinación con el Director de Inteligencia Nacional y el CNSS, y en consulta con la APNSA, adoptará requisitos de Sistemas de Seguridad Nacional que sean equivalentes o superiores a los requisitos de Seguridad Cibernética establecidos en esta orden que de otra manera no son aplicables a los Sistemas de Seguridad Nacional. Dichos requisitos pueden prever excepciones en circunstancias que sean necesarias por necesidades específicas de la misión. Dichos requisitos se codificarán en un Memorándum de Seguridad Nacional (NSM). Hasta el momento en que se emita el NSM, los programas, estándares o requisitos establecidos de conformidad con esta orden no se aplicarán con respecto a los Sistemas de seguridad nacionales.

En este punto se deja en claro que nada de lo establecido en esta resolución va a alterar la autoridad del Administrador Nacional con respecto a los Sistemas de Seguridad Nacional según se define en la Directiva de Seguridad Nacional 42 del 5 de julio de 1990 (Política Nacional para la Seguridad de los Sistemas de Información y Telecomunicaciones de Seguridad Nacional) (NSD-42). La red de FCEB seguirá estando bajo la autoridad del Secretario de Seguridad Nacional actuando a través del Director de CISA.

• Definiciones.

La sección 10 está destinada a definir algunos de los términos empleados en esta orden, de los cuales destacamos los siguientes:

• «Auditoría de relación de confianza» – una relación acordada entre dos o más elementos del sistema que se rige por criterios para la interacción segura, el comportamiento y los resultados relacionados con la protección de activos.

• Agencias de la Rama Ejecutiva Civil Federal” o “Agencias de FCEB” incluye a todos los organismos de gobierno, excepto el Departamento de Defensa y las agencias de la Comunidad de Inteligencia

• “Sistemas de Información de la Rama Ejecutiva Civil Federal” o “Sistemas de Información de FCEB” – aquellos sistemas de información operados por Agencias de la Rama Ejecutiva Civil Federal, pero excluye los Sistemas de Seguridad Nacional.

• “Sistemas de Información Federal” – sistema de información utilizado u operado por una agencia, por un contratista de una agencia o por otra organización en nombre de una agencia, incluidos los Sistemas de Información de FCEB y los Sistemas de Seguridad Nacional.

• «Registros» – registros de los eventos que ocurren dentro de los sistemas y redes de una organización. Los registros se componen de entradas de registro y cada entrada contiene información relacionada con un evento específico que ha ocurrido dentro de un sistema o red.

• «Lista de materiales de software» o «SBOM» – un registro formal que contiene los detalles y las relaciones de la cadena de suministro de varios componentes utilizados en el desarrollo del software. Comprender la cadena de suministro de software, obtener una SBOM y usarla para analizar vulnerabilidades conocidas son cruciales para administrar el riesgo.

• “Arquitectura de Confianza Cero” – es un modelo de seguridad, un conjunto de principios de diseño de sistemas y una estrategia coordinada de ciberseguridad y gestión del sistema basada en el reconocimiento de que las amenazas existen tanto dentro como fuera de los límites tradicionales de la red. El modelo de seguridad Zero Trust elimina la confianza implícita en cualquier elemento, nodo o servicio y, en cambio, requiere una verificación continua de la imagen operativa a través de información en tiempo real de múltiples fuentes para determinar el acceso y otras respuestas del sistema. Asume que una infracción es inevitable o que probablemente ya haya ocurrido, por lo que limita constantemente el acceso solo a lo que se necesita y busca actividades anómalas o maliciosas. Zero Trust Architecture incorpora una supervisión de seguridad integral; controles de acceso granulares basados ​​en riesgos y automatización de la seguridad del sistema de manera coordinada en todos los aspectos de la infraestructura para concentrarse en proteger los datos en tiempo real dentro de un entorno de amenazas dinámicas. Este modelo de seguridad centrado en datos permite aplicar el concepto de acceso con privilegios mínimos para cada decisión de acceso, donde las respuestas a las preguntas de quién, qué, cuándo, dónde y cómo son críticas para permitir o denegar adecuadamente el acceso a los recursos en función de la combinación de varios.

• Disposiciones generales.

Finalmente, en las Disposiciones Generales se ordena que luego del nombramiento del Director Cibernético Nacional (NCD) y el establecimiento de la Oficina relacionada dentro de la Oficina Ejecutiva del Presidente, de conformidad con la sección 1752 de la Ley Pública 116-283, partes de esta orden pueden modificarse para permitir que el NCD pueda ejecutar sus deberes y responsabilidades.

Además, se deja constancia de que nada en esta orden confiere autoridad para interferir o dirigir una investigación criminal o de seguridad nacional, arresto, registro, incautación u operación de interrupción o para alterar una restricción legal que requiera que una agencia proteja la información obtenida en el curso de una investigación criminal o de seguridad nacional.

Fuente:

• https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/