En marzo, el gobierno de Estados Unidos publicó un nuevo Estrategia de ciberseguridad escrito por la Oficina del Director Nacional Cibernético.

Dividida en cinco pilares y 27 objetivos estratégicos, la estrategia presenta una visión audaz para defender la infraestructura crítica, desmantelar los actores de amenazas, dar forma a las fuerzas del mercado para impulsar la seguridad, invertir en un futuro resiliente y forjar asociaciones internacionales. Si se implementa por completo, esta estrategia presentará a las empresas en el espacio de contratación el desafío de un mayor escrutinio y estándares de seguridad más altos, pero también la oportunidad de competir por pedidos y subvenciones destinados a reforzar la infraestructura digital crítica de la nación.

La estrategia incluye varias áreas de interés para la comunidad de contratistas gubernamentales, con el potencial de aumentar el financiamiento para varios proyectos, así como la posibilidad de regulación y aplicación adicionales.

Una sección, por ejemplo, analiza el uso de programas de subvenciones federales para incentivar la creación de infraestructura digital crítica. Otro amplía las formas en que el gobierno podría “aprovechar las adquisiciones federales para mejorar la rendición de cuentas”, pero también exige una mayor aplicación de los requisitos de seguridad para los proveedores que venden al gobierno federal. Finalmente, una disposición describe planes para “revitalizar la investigación y el desarrollo federales para la ciberseguridad” a través de una variedad de centros de investigación y desarrollo financiados con fondos federales.

Vulnerabilidades del 'día cero'

La sección más controvertida exige responsabilizar a las empresas de software para producir código inseguro. Si bien la explotación de las vulnerabilidades del “Día Cero” ha alcanzado un máximo histórico en los últimos años, lo que ha tenido amplios impactos en la industria y el gobierno, la idea de responsabilizar a las empresas por la producción de código inseguro es una desviación importante de las normas anteriores. Algunos han cuestionado si la estrategia contiene suficientes detalles para ser implementado adecuadamente, mientras que otros señalaron que este objetivo podría remodelar la forma en que todo el gobierno adquiere software.

En un esfuerzo por enfatizar este cambio de mentalidad, la Agencia de Seguridad de Infraestructura y Ciberseguridad, junto con varios socios internacionales, publicaron Principios de seguridad por diseño y predeterminados en abril. Esta guía tenía como objetivo impulsar un cambio cultural en la forma en que la comunidad tecnológica ve el software vulnerable y trasladar la carga de la seguridad a los fabricantes de tecnología.

Como parte del lanzamiento de esta nueva forma de pensar, la directora de CISA, Jen Easterly, señaló en un discurso en la Universidad Carnegie Mellon que el concepto de Seguridad por Diseño y Por Defecto tenía como objetivo trasladar la carga de los consumidores y las pequeñas empresas a las principales empresas de tecnología. Esto significa que, si se implementara plenamente, las grandes empresas tecnológicas como Microsoft y Google tendrían un mayor grado de responsabilidad que el contratista gubernamental promedio, en particular las empresas clasificadas como pequeñas empresas.

Cambiar la carga de la responsabilidad es controvertido porque hasta este punto las principales empresas de desarrollo de software han asumido que si continúan identificando y parcheando vulnerabilidades, serán inmunes a la mayoría de las consecuencias negativas. De hecho, Microsoft ha institucionalizado la idea de publicar rutinariamente actualizaciones y correcciones para su software hasta el punto de que El “martes de parches” ha sido un elemento básico de la industria desde 2003.

Sin embargo, a medida que los actores de amenazas continúan explotando más vulnerabilidades de día cero que nunca, la necesidad de software seguro nunca ha sido mayor. En 2021 se produjo el mayor número de días cero explotados de la historia., con actores patrocinados por el Estado a la cabeza. En lo que va de 2023, Los grupos criminales de ransomware han aprovechado vulnerabilidades críticas. llevando a cientos de millones de dólares en pagos de rescate.

En julio de 2023, la ONCD publicó un Plan de Implementación de la Estrategia Nacional de Ciberseguridad proporcionando cronogramas, agencias responsables y orientación específica para muchos de los objetivos establecidos en la estrategia. El plan, por ejemplo, puso a la Oficina de Gestión y Presupuesto a cargo de implementar los cambios en el Reglamento Federal de Adquisiciones requeridos según Orden Ejecutiva 14028 para el primer trimestre del año fiscal 24, y pidió a la Oficina de Política Científica y Tecnológica que trabaje con una variedad de agencias que otorgan subvenciones para priorizar las inversiones en “lenguajes de programación seguros para la memoria”.

'Seguro por diseño'

Ninguna de estas disposiciones vino con nuevos fondos para su implementación. Sorprendentemente, la disposición "Secure-by-Design" tenía uno de los planes de implementación más débiles de todo el documento, y pedía que la ONCD organizara un simposio legal en el segundo trimestre del año fiscal 24 para "explorar diferentes enfoques para un marco de responsabilidad del software".

En última instancia, la forma en que se asignen los dólares federales durante los próximos años fiscales determinará el verdadero impacto de la nueva estrategia y plan de implementación. Si bien parece que oficinas como la ONCD y CISA están impulsando cambios dramáticos en el panorama de la ciberseguridad, su falta de autoridad regulatoria y presupuestaria puede obstaculizar la implementación de esos planes.

Si se implementa por completo, la estrategia tendría un efecto neto positivo en el espacio de contratación gubernamental al aumentar la inversión federal en el desarrollo de tecnología segura y reducir las vulnerabilidades en el software principal que utilizan todos los contratistas gubernamentales. Es demasiado pronto para decir si esta audaz visión del futuro puede realmente convertirse en realidad.

Noah Rivers es investigador asociado en el Centro Greg y Camille Baroni de Contratación Gubernamental de la Escuela de Negocios de la Universidad George Mason.

¿Tengo una opinion?

Este artículo es un artículo de opinión y las opiniones expresadas son las del autor. Si desea responder, o tiene un editorial propio que le gustaría enviar, por favor envíe un correo electrónico a C4ISRNET y al editor administrativo sénior de Federal Times, Cary O'Reilly.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.defensenews.com/opinion/2023/09/11/what-new-federal-cybersecurity-policy-means-for-government-contractors/