Recién salido del horno, el Plan Nacional de Implementación de la Estrategia de Seguridad Cibernética (NCSIP) de 57 páginas de la Administración Biden describe más de 65 iniciativas que varias agencias federales implementarán durante los próximos años. Estos incluyen el fortalecimiento de la infraestructura crítica de los EE.UU. contra las amenazas cibernéticas, el establecimiento de responsabilidad exigible para los productos y servicios de software, y el diseño de formas más efectivas para interrumpir y deshabilitar las operaciones de los actores de amenazas y su infraestructura.
Una hoja de ruta de implementación
Esta semana, varios profesionales de la seguridad percibieron que el NCSIP es importante para que la estrategia de seguridad cibernética y dijeron que sus plazos relativamente agresivos transmiten el sentido correcto de urgencia a las partes interesadas.
El resumen ejecutivo del NCSIP describe esta versión del documento como la primera iteración y lo llamó un "documento vivo" que se actualizará anualmente. "Se agregarán iniciativas a medida que lo exija el panorama cibernético en evolución y se eliminarán después de su finalización".
Los objetivos de la estrategia cibernética se agrupan en cinco pilares separados:
- Defender la infraestructura crítica;
- Interrumpir y desmantelar a los actores de amenazas;
- Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia;
- Invertir en un futuro resiliente; y
- Forjar asociaciones internacionales.
El documento de esta semana proporciona planes e iniciativas de alto nivel para alcanzar estos objetivos.
Los planes para reforzar la defensa de la infraestructura crítica incluyen el establecimiento de nuevos requisitos de ciberseguridad para las organizaciones del sector, la ampliación de las asociaciones público-privadas, la integración de los centros federales de ciberseguridad y la actualización de los planes y procesos federales de respuesta a incidentes.
Del mismo modo, los planes para desmantelar a los actores de amenazas incluyen la integración de actividades de interrupción federales, el aumento de la velocidad y la escala del intercambio de inteligencia sobre amenazas y la prevención de que los actores de amenazas abusen de la infraestructura de EE.UU. para llevar a cabo ataques.
Los planes para el tercer pilar, que muchos expertos en seguridad consideran uno de los cinco objetivos estratégicos más importantes, incluyen el desarrollo de un marco de responsabilidad del software a largo plazo, el avance de los esfuerzos en torno a las iniciativas de listas de materiales de software (SBOM) y otras iniciativas de desarrollo de software seguro.
El NCSIP proporciona planes e iniciativas similares para los dos pilares restantes. Muchos de estos planes tienen fechas límite de implementación de 2025, y algunos ya están en marcha. Por ejemplo, el plan pide a las agencias que eliminen los sistemas heredados.
Principales desafíos
Algunas iniciativas se deben completar antes de fin de año, incluyendo una revisión de los centros federales de ciberseguridad, la redacción de legislación para codificar la Junta de Revisión de Seguridad Cibernética y el desarrollo de un plan internacional para desalentar a los países de actuar como refugios seguros para los criminales de ransomware, entre otros
La ventana de dos a tres años que ha establecido el plan de implementación para crear marcos de responsabilidad del software parece un poco ambiciosa. Luego, para el segundo trimestre del año fiscal 25, CISA debe completar una evaluación de brechas de SBOM, pero es poco probable que se complete antes de 2026 dada la complejidad de la tarea.
Mike Hamilton, CISO en Critical Insight, percibe el nuevo NCSIP como un avance en la seguridad de la infraestructura crítica y en los esfuerzos para interrumpir a los actores de amenazas. El NCSIP, por ejemplo, parece enfocado en ampliar el plan nacional de respuesta a incidentes cibernéticos más allá del sector de infraestructura crítica a todos los sectores y tamaños de empresas, dice.
Significativamente, el plan de implementación tiene un papel para la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en la provisión de capacitación en ciberseguridad y respuesta a incidentes para el sector de la salud, un objetivo principal de los ataques de ransomware. "Saber que la respuesta a incidentes ahora será una agencia federal en sí misma puede hacer que los operadores de ransomware se detengan al pensar en atacar hospitales", dice Hamilton.
Fuente: Dark Reading