De la infraestructura crítica a la evitación de calamidades: dos importantes informes de la Comisión sobre ciberseguridad en el ciberespacio

According to the recently published Cyberspace Solarium Commission report “Cybersecurity Lessons from the Pandemic,” the COVID-19 pandemic illustrates the challenge of ensuring resilience and continuity in a connected world. Many of the effects of this new breed of crisis can be significantly ameliorated through advance preparations that yield resilience, coherence, and focus as it spreads rapidly through the entire system, stressing everything from emergency services and supply chains to basic human needs and mental health. The pandemic produces cascading effects and high levels of uncertainty. It has undermined normal policymaking processes and, in the absence of the requisite preparedness, has forced decision-makers to craft hasty and ad hoc emergency responses.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del Editor: La Comisión de Solarium del Ciberespacio (CSC) fue establecida en la Ley de Autorización de Defensa Nacional John S. McCain para el Año Fiscal 2019 con la carta de desarrollar un consenso sobre un enfoque estratégico para defender a los Estados Unidos en el ciberespacio contra ataques cibernéticos de consecuencias significativas. Siguiendo el modelo del «Proyecto Solarium» de Dwight Eisenhower, que fue un ejercicio a nivel nacional en el diseño de estrategias y políticas destinado a crear consenso en la comunidad de seguridad nacional para responder al expansionismo soviético, el CSC ha publicado recientemente dos informes convincentes que merecen ser examinados por los órganos jurídicos, empresas y profesionales de la tecnología de la información, ya que contemplan la disuasión cibernética estratégica, operacional y táctica desde un nivel macronacional hasta un nivel microorganizacional.

Informe de la Comisión de Ciberseguridad Solarium

El informe final fue presentado al público el 11 de marzo de 2020.

Carta del Presidente del Senador Angus King y del Representante Mike Gallagher

Nuestro país está en riesgo, no sólo de un catastrófico ataque cibernético sino de millones de intrusiones diarias que interrumpen todo, desde las transacciones financieras hasta el funcionamiento interno de nuestro sistema electoral. Capturar la complejidad de este desafío es difícil. Incluso el hombre al que se le atribuye la invención del término «ciberespacio», el autor de ciencia ficción William Gibson, lo criticaría más tarde como una palabra de moda «evocadora y esencialmente sin sentido».

Al estudiar este tema, es fácil descender a un manso de clasificación, acrónimos, jerga y oscuros organigramas gubernamentales. Para evitar eso, intentamos algo diferente: un informe no clasificado que esperamos sea legible por las mismas personas afectadas por la inseguridad cibernética, todos. Este informe también está dirigido directamente a la acción; contiene numerosas recomendaciones que abordan cuestiones organizativas, normativas y técnicas, e incluimos un apéndice con proyectos de ley sobre los que el Congreso puede actuar rápidamente para poner en práctica estas ideas y hacer que Estados Unidos sea más seguro.

La realidad es que estamos peligrosamente inseguros en el ciberespacio. Toda su vida —su sueldo, su atención médica, su electricidad— depende cada vez más de redes de dispositivos digitales que almacenan, procesan y analizan datos. Estas redes son vulnerables, si no ya están comprometidas. Nuestro país ha perdido cientos de miles de millones de dólares por robo de propiedad intelectual patrocinado por el Estado-nación usando espionaje cibernético. Un ataque cibernético importante contra la infraestructura crítica y el sistema económico de la nación crearía caos y daños duraderos que superarían el causado por los incendios en California, las inundaciones en el Medio Oeste y los huracanes en el Sureste.

Para evitar que esto ocurra, nuestro informe esboza una nueva estrategia cibernética y proporciona más de 75 recomendaciones para la acción en los sectores público y privado. Aquí hay algunas grandes ideas para comenzar la conversación.

En primer lugar, la disuasión es posible en el ciberespacio. Hoy en día, la mayoría de los ciberactores se sienten inanimados, si no envalentonados, para dirigirse a nuestros datos personales y a la infraestructura pública. En otras palabras, a través de nuestra incapacidad o falta de voluntad para identificar y castigar a nuestros adversarios cibernéticos, estamos señalando que interferir en las elecciones estadounidenses o robar miles de millones de la propiedad intelectual estadounidense es aceptable. El gobierno federal y el sector privado deben defenderse y contraatacar con rapidez y agilidad.

Esto es difícil porque el gobierno no está optimizado para ser rápido o ágil, sino que simplemente debemos ser más rápidos que nuestros adversarios para evitar que destruyan nuestras redes y, por extensión, nuestro modo de vida. Nuestra estrategia de disuasión cibernética en capas está diseñada con este objetivo en mente. Combina una mayor resiliencia con capacidades de atribución mejoradas y una estrategia de señalización más clara con la acción colectiva de nuestros socios y aliados. Es un marco simple que establece cómo evolucionamos hacia un objetivo duro, un buen aliado y un mal enemigo.

En segundo lugar, la disuasión depende de una economía resiliente. Durante la Guerra Fría, nuestras mejores mentes se encargaron de desarrollar planes de Continuidad del Gobierno para garantizar que el gobierno pudiera sobrevivir y que la nación se recuperara después de un ataque nuclear. Necesitamos una planificación similar hoy para garantizar que podamos reconstituirse después de un ciberataque a nivel nacional. También tenemos que asegurarnos de que nuestra economía siga funcionando. Recomendamos que el gobierno instituya un plan de Continuidad de la Economía para asegurar que podamos restaurar rápidamente las funciones críticas en las corporaciones y sectores industriales, y que la economía vuelva a funcionar después de un catastrófico ataque cibernético. Tal plan es un pilar fundamental de la disuasión, una forma de decirle a nuestros adversarios que nosotros, como sociedad, sobreviviremos para derrotarlos con rapidez y agilidad si lanzan un gran ciberataque contra nosotros.

En tercer lugar, la disuasión requiere una reforma gubernamental. Necesitamos elevar y empoderar a las agencias cibernéticas existentes, en particular a la Agencia de Seguridad de la Ciberseguridad y la Infraestructura (CISA), y crear nuevos centros focales para coordinar la ciberseguridad en el poder ejecutivo y el Congreso. Para ello, recomendamos la creación de un Director Nacional de Cibernética con supervisión de los nuevos Comités de Ciberseguridad del Congreso, pero nuestro objetivo no es crear más burocracia con roles y organizaciones nuevos y duplicados. Más bien, proponemos dar a las organizaciones existentes las herramientas que necesitan para actuar con rapidez y agilidad para defender nuestras redes e imponer costos a nuestros adversarios. La clave es CISA, que hemos tratado de empoderar como la agencia líder para la ciberseguridad federal y el socio preferido del sector privado. Queremos que trabajar en CISA sea tan atractivo para jóvenes profesionales interesados en el servicio nacional que compite con la NSA, el FBI, Google y Facebook por talento de alto nivel (y gana).

En cuarto lugar, la disuasión exigirá que las entidades del sector privado intensifiquen y fortalezcan su postura de seguridad. La mayor parte de nuestra infraestructura crítica es propiedad del sector privado. Es por eso que hacemos ciertas recomendaciones, como establecer una certificación de seguridad en la nube o modernizar los requisitos de informes de responsabilidad corporativa. No queremos ensillar al sector privado con regulaciones onerosas y contraproducentes, ni queremos obligar a las empresas a entregar sus datos al gobierno federal. No somos el Partido Comunista Chino, y de hecho nuestro mejor camino para vencer a nuestros adversarios es permanecer libres e innovadores. Pero necesitamos que los ejecutivos de C-suite se tomen en serio el cibernético ya que están en primera línea. Con el apoyo del gobierno federal, las entidades del sector privado deben ser capaces de actuar con rapidez y agilidad para evitar que los ciberatacantes estallen en sus redes y la mayor variedad de redes en las que depende la nación.

En quinto lugar, la seguridad electoral debe convertirse en una prioridad. El pueblo estadounidense todavía no tiene la seguridad de que nuestros sistemas electorales estén a salvo de la manipulación extranjera. Si no conseguimos la seguridad electoral correcta, la disuasión fracasará y las generaciones futuras mirarán hacia atrás con anhelo y pesar sobre la otrora poderosa República Americana y se preguntarán cómo arruinamos todo el asunto. Creemos que necesitamos continuar con los créditos para financiar la modernización de la infraestructura electoral a nivel estatal y local. Al mismo tiempo, los estados y las localidades deben pagar su parte justa para asegurar elecciones, y pueden recurrir a recursos útiles —como organizaciones sin fines de lucro que pueden actuar con mayor rapidez y agilidad en los 50 estados— para asegurar elecciones desde abajo hacia arriba en lugar de esperar dirección y financiamiento de arriba hacia abajo. También tenemos que asegurarnos de que, independientemente del método de emitir un voto, papel o electrónico, exista un rastro de auditoría en papel (y sí, reconocemos la ironía de una comisión cibernética que recomiende un rastro en papel).

No resolvimos todo en este informe. Ni siquiera estábamos de acuerdo en todo. Hay áreas, como equilibrar el cifrado máximo frente al acceso legal obligatorio a los dispositivos, donde lo mejor que pudimos hacer era proporcionar una declaración común de principios. Sin embargo, cada Comisario estaba dispuesto a llegar a compromisos en el curso de nuestro trabajo porque todos estábamos unidos por el reconocimiento de que el statu quo no está haciendo el trabajo. El status quo está invitando a atacar a Estados Unidos cada segundo de cada día. El statu quo es una lenta rendición del poder y la responsabilidad estadounidenses. Todos queremos que eso se detenga. Así que, por favor, haznos un favor a nosotros y a tus compatriotas estadounidenses. Lea este informe y luego exija que su gobierno y el sector privado actúen con rapidez y agilidad para asegurar nuestro futuro cibernético.

Senador Angus King (I-Maine)

Representante Mike Gallagher (R-Wisconsin)

Lea el artículo completo en The Cyberspace Solarium Commission Report

El Cyberspace Solarium Commission Report (PDF) Mouseover to Scroll

Informe final del CSC

Fuente original: Cyberspace Solarium Commission

Lecciones de ciberseguridad de la pandemia

El informe final fue presentado al público el 2 de junio de 2020.

Extracto del resumen ejecutivo

La pandemia del COVID-19 ilustra el desafío de garantizar la resiliencia y la continuidad en un mundo conectado. Muchos de los efectos de esta nueva generación de crisis pueden mejorarse significativamente mediante preparativos anticipados que produzcan resiliencia, coherencia y concentración a medida que se propaga rápidamente por todo el sistema, haciendo hincapié en todo, desde los servicios de emergencia y las cadenas de suministro hasta las necesidades humanas básicas y la salud mental. La pandemia produce efectos en cascada y altos niveles de incertidumbre. Ha socavado los procesos normales de formulación de políticas y, a falta de la preparación necesaria, ha obligado a los encargados de adoptar decisiones a elaborar respuestas de emergencia apresuradas y especiales. A menos que se conciba un nuevo enfoque, crisis como el COVID-19 seguirán desafiando el estilo de vida americano moderno cada vez que surjan. En el presente anexo se recogen las observaciones de la pandemia en lo que se refiere a la seguridad del ciberespacio, tanto en lo que se refiere a los problemas de ciberseguridad que crea como a lo que puede enseñar a los Estados Unidos acerca de cómo prepararse para una perturbación cibernética importante. Estas ideas y las recomendaciones que lo acompañan, algunas de las cuales son nuevas y algunas de las cuales aparecen en el informe original de marzo de 2020, son ahora más urgentes que nunca.

Lea el artículo completo en Cybersecurity Lessons from the Pandemic

Lecciones de ciberseguridad de la pandemia (PDF) Mouseover to Scroll

Lecciones aprendidas de la pandemia en materia de ciberseguridad — Libro Blanco de CSC

Fuente original: Cyberspace Solarium Commission

Lectura adicional

¿Considerando la ciberseguridad? La ciberseguridad nacional en la práctica: un nuevo manual

Un escenario de ransomeware relevante: la orientación de gobiernos municipales y proveedores de salud

Fuente: ComplexDiscovery

¿Restablecer la línea base? Ajustes de tamaño de mercado de eDiscovery para 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Nuevo de NIST: Integración de la Ciberseguridad y la Gestión de Riesgos Empresariales (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

¿Una alianza nublada? Una nube de próxima generación para Europa

According to Thierry Breton, Commissioner for the Internal Market, "Europe needs...

Cinco grandes lecturas sobre eDiscovery para octubre de 2020

From business confidence and captive ALSPs to digital republics and mass...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guía de compradores de eDisclosure Systems — Edición 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

¿La carrera a la línea de salida? Anuncios recientes de revisión remota segura

Not all secure remote review offerings are equal as the apparent...

¿Activando la exhibición remota de documentos electrónicos? Una instantánea de DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

¿Restablecer la línea base? Ajustes de tamaño de mercado de eDiscovery para 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

¿A casa o a distancia? Consideraciones sobre el tamaño del mercado y los precios de la colección eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisiones y decisiones? Nuevas consideraciones para eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Una mirada macro al tamaño del mercado de eDiscovery pasado y proyectado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

¿Una temporada de cambio? Dieciocho observaciones sobre la confianza empresarial de eDiscovery en el otoño de 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

El caso continuo de restricciones presupuestarias en el negocio de eDiscovery

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

¿Cuentas pendientes? Métricas operativas de eDiscovery en el otoño de 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

¿Sostener el timón? Resultados de la encuesta de confianza empresarial eDiscovery otoño 2020

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO recauda $60 millones

According to the media release, DISCO will use this investment to...

Rampíva y la fusión de grupos RYABI

According to today's announcement, the RYABI Group merger is Rampiva's first...

Fusiones, adquisiciones e inversiones de eDiscovery en el tercer trimestre de 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech adquiere agudeza ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Cinco grandes lecturas sobre eDiscovery para octubre de 2020

From business confidence and captive ALSPs to digital republics and mass...

Cinco grandes lecturas sobre eDiscovery para septiembre de 2020

From cloud forensics and cyber defense to social media and surveys,...

Cinco grandes lecturas en eDiscovery para agosto de 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinco grandes lecturas sobre eDiscovery para julio de 2020

From business confidence and operational metrics to data protection and privacy...