Directiva de Ciberseguridad de Biden
Cuatro días antes de dejar el cargo, el presidente de EE. UU., Joe Biden, ha emitido una amplia directiva de ciberseguridad que ordena mejoras en la forma en que el gobierno monitorea sus redes, compra software, utiliza inteligencia artificial y castiga a los hackers extranjeros. La orden ejecutiva de 40 páginas, desvelada el jueves, es el último intento de la Casa Blanca de Biden para impulsar los esfuerzos destinados a aprovechar los beneficios de seguridad de la inteligencia artificial, implementar identidades digitales para los ciudadanos estadounidenses y cerrar brechas que han permitido a China, Rusia y otros adversarios penetrar repetidamente los sistemas del gobierno de EE. UU.
Objetivos de la Orden Ejecutiva
La orden “está diseñada para fortalecer las bases digitales de América y también colocar a la nueva administración y al país en un camino hacia el éxito continuo”, dijo Anne Neuberger, asesora nacional de seguridad de Biden para ciberseguridad y tecnología emergente, a los reporteros el miércoles. Sin embargo, sobre la directiva de Biden se cierne la pregunta de si el presidente electo, Donald Trump, continuará alguna de estas iniciativas después de asumir el cargo el lunes. Ninguno de los proyectos altamente técnicos decretados en la orden es partidista, pero los asesores de Trump pueden preferir diferentes enfoques (o cronogramas) para resolver los problemas identificados en la orden.
Implementación y Requisitos
Trump no ha nombrado a ninguno de sus principales funcionarios de ciberseguridad, y Neuberger dijo que la Casa Blanca no discutió la orden con su equipo de transición, “pero estamos muy felices de, tan pronto como el nuevo equipo cibernético sea nombrado, tener cualquier discusión durante este último período de transición”. El núcleo de la orden ejecutiva es un conjunto de mandatos para proteger las redes gubernamentales basados en lecciones aprendidas de incidentes recientes, en particular, las fallas de seguridad de los contratistas federales.
La orden requiere que los proveedores de software presenten pruebas de que siguen prácticas de desarrollo seguras, construyendo sobre un mandato que debutó en 2022 en respuesta a la primera orden ejecutiva cibernética de Biden. La Agencia de Ciberseguridad y Seguridad de Infraestructura será responsable de verificar estas certificaciones de seguridad y trabajar con los proveedores para resolver cualquier problema. Para poner en práctica este requisito, la Oficina del Director Nacional de Ciberseguridad de la Casa Blanca “está incentivada a remitir certificaciones que fallen en la validación al Fiscal General” para posibles investigaciones y enjuiciamientos.
Críticas y Plazos
La orden otorga al Departamento de Comercio ocho meses para evaluar las prácticas cibernéticas más comúnmente utilizadas en la comunidad empresarial y emitir directrices basadas en ellas. Poco después, esas prácticas se convertirían en obligatorias para las empresas que buscan hacer negocios con el gobierno. La directiva también inicia actualizaciones a las directrices de desarrollo seguro de software del Instituto Nacional de Estándares y Tecnología.
Otra parte de la directiva se centra en la protección de las claves de autenticación de plataformas en la nube, cuya compromisión abrió la puerta al robo de correos electrónicos del gobierno por parte de China desde los servidores de Microsoft y su reciente hackeo a la cadena de suministro del Departamento del Tesoro. El Departamento de Comercio y la Administración de Servicios Generales tienen 270 días para desarrollar directrices para la protección de claves, que luego deberán convertirse en requisitos para los proveedores de la nube dentro de 60 días. Para proteger a las agencias federales de ataques que dependen de fallos en dispositivos de internet de las cosas, la orden establece un plazo del 4 de enero de 2027 para que las agencias compren únicamente dispositivos IoT de consumo que lleven la nueva etiqueta de Marca de Confianza Cibernética de EE. UU.
Fuente y créditos: www.wired.com
Cats: Security
