La administración del presidente Biden de EE. UU. publicó la primera versión del Plan de implementación de la estrategia nacional de ciberseguridad, que se anunció en marzo de 2023. El plan tiene como objetivo impulsar la resiliencia de la seguridad cibernética pública y privada, luchar contra los actores de amenazas, reforzar la defensa de la infraestructura y trazar una hoja de ruta nacional clara de responsabilidades de seguridad cibernética.
Cada iniciativa del plan se alinea con los cinco pilares esenciales:
Defender la infraestructura crítica.
Interrumpir y desmantelar a los actores de amenazas.
Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia.
Invertir en un futuro resiliente.
Forjar alianzas internacionales para perseguir objetivos compartidos.
Hay más de 65 iniciativas federales bajo la bandera de un Plan Nacional de Implementación de la Estrategia de Seguridad Cibernética.
Según un documento de la Casa Blanca sobre el plan, analiza dos áreas críticas: la necesidad de más «actores capaces» en el ciberespacio para asumir más responsabilidades de ciberseguridad y la necesidad de incentivar e invertir en resiliencia a largo plazo.
Dieciocho agencias liderarán el plan de todo el gobierno, que consta de una variedad de actividades, incluida la actualización del Plan Nacional de Respuesta a Incidentes Cibernéticos y la lucha contra el ransomware a través de la Fuerza de Tarea Conjunta de Ransomware.
Drew Bagley, vicepresidente de CrowdStrike, consejero de política de privacidad y cibernética, quien tuvo una visión temprana del plan de la Casa Blanca, comentó sobre el orden de operaciones del gobierno federal hasta el año fiscal 2026. Él señaló: “Esto es especialmente importante porque muchos elementos en la estrategia incluyen múltiples dependencias. Si bien el plan de implementación cubre mucho terreno, está claro que los autores aplicaron un enfoque significativo en la aplicación amplia de los principios de seguridad por diseño/seguridad por defecto”.
El lanzamiento del Plan se produce un día después de que la Coalición de Seguridad Cibernética, con otros cuatro grupos de la industria de la seguridad y el software como cofirmantes, enviaron una carta a la Casa Blanca instando a la administración Biden a nominar un nuevo director nacional Cibernético antes de fin de mes.
Refiriéndose al primer pilar, que se enfoca en asegurar la infraestructura con una concentración en asociaciones públicas/privadas, Bagley dijo que el Plan no solo dedica atención a aclarar los roles de las agencias de gestión de riesgos, sino que también pone responsabilidades importantes en manos de la Oficina de Gestión. y Presupuesto.
Bagley señaló que la Oficina del director nacional Cibernético también liderará ciertas iniciativas clave, que incluyen impulsar la armonización regulatoria, ejecutar escenarios de ejercicio y establecer células para aumentar los esfuerzos de interrupción del adversario.
El segundo pilar del Plan implica que el Departamento “Aumente el volumen y la velocidad de las campañas de disrupción contra los ciberdelincuentes, los adversarios del estado-nación y los facilitadores asociados (por ejemplo, lavadores de dinero) mediante la expansión de sus plataformas organizacionales dedicadas a tales amenazas y el aumento del número de calificados abogados dedicados al trabajo cibernético”, señala el documento del Plan.
El tercer pilar del Plan de Implementación se enfoca en asegurar la cadena de suministro de software, enfocado en la resiliencia del diseño de software. El principal estratega de ciberseguridad de VMware, Rick McElroy, elogió este plan; Dijo que asegurar el software en la nube (software como servicio) necesita un enfoque especial. Agregó que el grupo de trabajo dirigido por la Administración de Seguridad de Infraestructura y Ciberseguridad está trabajando para abordar esto. “Pero sigue habiendo una brecha en las discusiones de SBOM. SaaSBOM es imprescindible en un mundo donde la nube es lo primero”, enfatizó McElroy.