Lo que las empresas deben saber sobre la nueva estrategia de ciberseguridad de EE. UU.

El 2 de marzo de 2023, la administración Biden publicó su tan esperado Estrategia nacional de ciberseguridad. A la luz de los ciberataques contra la infraestructura, las empresas y las agencias gubernamentales estadounidenses, el documento eleva la ciberseguridad como un componente fundamental de la prosperidad económica y la seguridad nacional de los Estados Unidos. También plantea un dilema fundamental, que es que el sector privado —compuesto por empresas de software, pequeñas y medianas empresas, proveedores de banda ancha y empresas de servicios públicos— es el que tiene la clave del bien público de la ciberseguridad:

Las continuas interrupciones de la infraestructura crítica y los robos de datos personales dejan claro que las fuerzas del mercado por sí solas no han sido suficientes para impulsar la adopción generalizada de las mejores prácticas en materia de ciberseguridad y resiliencia.

El progreso voluntario hacia una mejor ciberhigiene por parte del sector privado ya no basta. En cambio, la nueva estrategia promete respaldar nuevos marcos regulatorios que transferirán la responsabilidad y crearán incentivos para que las empresas privadas se defiendan de las vulnerabilidades críticas.

Por qué un documento del sector público está obsesionado con el sector privado

El sector privado ha llamado la atención de un sector público desconfiado de los ciberataques debido a una serie de ciberincidentes de alto perfil en los últimos años. En 2017, agencia de crédito para clientes Equifax sufrió un hackeo eso comprometió la información personal de más de 143 millones de estadounidenses, lo que llevó a 425 millones de dólares acuerdo con la Comisión Federal de Comercio. Los actores malintencionados utilizan cada vez más el ransomware contra las empresas estadounidenses, exigiendo grandes sumas de dinero para el intercambio seguro de datos confidenciales.

[

Insight Center Collection

Managing Cyber Risk

Exploring the challenges and the solutions.

](/insight-center/managing-cyber-risk)

El ransomware sigue siendo una táctica popular entre los hackers, precisamente porque estas campañas suelen tener éxito a la hora de generar lucrativos pagos. Según Los análisis de Comparitech de los incidentes de ransomware en los EE. UU., los ataques de ransomware a empresas estadounidenses costaron 20 900 millones de dólares entre 2018 y 2023, con una demanda media de rescate de 4,15 millones de dólares para las empresas afectadas en 2022. Por ejemplo, Oleoducto colonial, que transporta 100 millones de galones de combustible al día, o El 45% de todo el combustible utilizado en la costa este, sufrió una devastadora violación de ransomware en 2021, el mayor ataque divulgado públicamente contra una infraestructura petrolera estadounidense crítica de la historia. El autor, DarkSide, robó 100 gigabytes de datos en dos horas y amenazó con divulgarlos a menos que la empresa pagara 75 bitcoins al grupo, con un valor aproximado de 5 millones de dólares en ese momento, que Colonial Pipeline pagó en unas horas, chantajeado para que actuara por la perturbación del ataque.

Ninguna parte de la economía es inmune. En 2021 encuesta según el Centro de Estudios Estratégicos e Internacionales, el 42% de las pequeñas y medianas empresas sufrieron un ciberataque en el último año y estimaciones sugieren que el 40% de los ciberataques de 2021 se concentraron en pequeñas y medianas empresas, y que los ataques a estas empresas aumentarán150% en los últimos dos años. La posible extracción de datos e ingresos puede ser menor en comparación con la de grandes empresas como Microsoft, pero las pequeñas y medianas empresas también tienen menos recursos para dedicar a una ciberseguridad sólida. En algunos casos, estas empresas simplemente no tienen ninguna dedicado recursos de ciberseguridad.

Tres cosas que las empresas deben saber sobre la estrategia nacional de ciberseguridad

Mientras que el documento de 39 páginas incluye palabras de moda burocráticas como «armonizar», «partes interesadas» y «multilateral». Hemos identificado tres cosas concretas que los líderes empresariales deben saber sobre la nueva estrategia.

En primer lugar, cada empresa debe identificar sus distintas vulnerabilidades y riesgos. La estrategia de la administración Biden deja claro que es el momento de las empresas voluntariamente optar por la ciberseguridad ha pasado hace tiempo. En cambio, tienen que tomar medidas proactivas para poner a prueba y entender su panorama de amenazas. Las empresas deberían realizar escaneos de vulnerabilidad formales y pruebas de penetración que identifican los posibles puntos de acceso. Siempre que sea posible, las empresas deberían contratar a «hackers éticos», también conocidos como» equipos rojos», que simulan ciberataques sofisticados y revelan si los adversarios podrían acceder a datos confidenciales o generar disrupción en las redes y de qué manera. Las empresas también deben investigar minuciosamente a los vendedores y proveedores de software de terceros para minimizar el riesgo de ataques a través del cadena de suministro.

En segundo lugar, las empresas tienen que adoptar medidas para abordar esas vulnerabilidades de la cadena de suministro. Como parte de este paso, deberían aprovechar la promesa de la estrategia de colaboración entre el sector público y el privado en forma de intercambio de información, así como orientación práctica y apoyo sobre cómo navegar en el entorno de las ciberamenazas. De manera más general, tienen que tomar medidas preventivas, como parchear las vulnerabilidades conocidas, proporcionando formación de seguridad para los empleados e incorporar herramientas de detección de anomalías y, al mismo tiempo, garantizar que cuentan con planes de respuesta que puedan minimizar la magnitud y el daño de los hackeos exitosos.

En tercer lugar, las empresas deben reconocer que no hay una talla única para todos en lo que respecta a la ciberseguridad. Un subtexto importante de la estrategia es que se centra en establecer normas reglamentarias más agresivas para las empresas más grandes, las infraestructuras críticas y los proveedores de software.

La estrategia afirma categóricamente que «la falta de requisitos obligatorios se ha traducido en resultados inadecuados e inconsistentes» y que impulsará la legislación que haga responsables a estas empresas «si no cumplen con el deber de diligencia que deben a los consumidores, las empresas o los proveedores de infraestructuras críticas». Es posible que estas firmas, a su vez, traten de dar forma a la legislación y la responsabilidad, pero la estrategia deja claro que una mayor parte de la responsabilidad en términos de encontrar y corregir las vulnerabilidades recaerá en las empresas más grandes, donde hay más en juego y los recursos abundan. Las pequeñas empresas no están en el punto de mira (todavía), pero tampoco están exentas de culpa. También deberían buscar oportunidades de colaboración, como la reciente creación de los Institutos Nacionales de Estándares y Tecnología iniciativa para fomentar la comunicación entre las pequeñas empresas.

En cuanto a las implicaciones concretas de la nueva Estrategia Nacional de Ciberseguridad de la administración Biden para la industria estadounidense, el diablo estará en los detalles. El documento incluye los pilares fundamentales y los objetivos nobles que cabría esperar, dado que podría decirse que el ciberespacio es ahora la columna vertebral de la economía nacional de los EE. UU. El truco consistirá en hacerlo de manera que se tengan en cuenta los desafíos realistas de identificar y corregir todas las vulnerabilidades, y los riesgos de que una atención inadecuada afecte no solo a las personas, sino a toda la economía mundial.