La última Directiva Nacional de Ciberseguridad: Lo que los equipos de seguridad deberían saber

La Estrategia Nacional de Ciberseguridad (NCS por sus siglas en inglés) es más que un conjunto más de directrices cibernéticas: es una llamada de atención. Las ciberamenazas se están intensificando y los delincuentes y los estados nación se dirigen a las empresas e infraestructuras críticas como nunca antes. Estos no son riesgos teóricos. Ahora están ocurriendo. 

La estrategia establece el tono de cómo el gobierno federal espera que las empresas den un paso adelante: Adopte unas prácticas de software seguras, ajuste la seguridad de la cadena de suministro y prepárese para las amenazas emergentes. Si su empresa no está alineada con estas expectativas, no solo es vulnerable a los ataques, sino que también corre el riesgo de quedarse atrás en un entorno en el que la ciberseguridad ya no es opcional, sino que es un imperativo empresarial. A continuación, veamos las últimas directivas de ciberseguridad y cómo las agencias federales y el sector privado pueden mantenerse resilientes y preparados.  Es importante tener en cuenta que, aunque muchas de estas directivas están orientadas al futuro desde una perspectiva tecnológica, AHORA es el momento de empezar y elaborar un plan para abordarlas a largo plazo.

Novedades de 2025: Refuerzo y promoción de la innovación en la ciberseguridad de la nación

El 16 de enero de 2025, el presidente Joe Biden emitió una Orden Ejecutiva destinada a reforzar las defensas de ciberseguridad del país, abordando temas como la IA, las preocupaciones por el software de código abierto, la computación cuántica, la seguridad del IoT, las amenazas de robo de identidad (la identidad es el nuevo perímetro de seguridad de la red) y los ataques dirigidos a la infraestructura crítica. Por lo general, la directiva sigue algunas promesas clave hechas en el NCS del año pasado, que incluyen:

• Estándares mejorados para los contratistas federales: Los estrictos estándares de ciberseguridad para los contratistas tecnológicos de la administración les exigirán que proporcionen pruebas verificables del cumplimiento de las prácticas de desarrollo de software seguro.
• Responsabilidad de las cadenas de suministro de software de terceros: Para mitigar las vulnerabilidades que amenazan los sistemas federales críticos, los proveedores de software deben presentar declaraciones y artefactos que demuestren el cumplimiento de las prácticas de desarrollo seguro. Estas presentaciones, validadas a través del Repositorio de Atestación y Artefactos de Software de CISA, harán que los proveedores sean responsables de abordar las vulnerabilidades conocidas, centrándose en las evaluaciones, los parches y las contribuciones seguras.
• Consecuencias crecientes para los perpetradores de ciberamenazas extranjeras: La directiva amplía la autoridad para imponer sanciones a las personas y entidades extranjeras que participan en ciberataques contra los Estados Unidos, centrándose especialmente en los ataques de ransomware dirigidos a infraestructuras críticas, como las instalaciones sanitarias.
• Una mirada a las medidas de seguridad resistentes a las cuánticas: Las agencias federales tendrán que acelerar la transición a los algoritmos criptográficos resistentes a la cuantificación para proteger los datos confidenciales frente a las amenazas futuras planteadas por los avances en el descifrado informático cuántico. 
• Integración de la inteligencia artificial en la ciberdefensa: La directiva promueve el uso de herramientas basadas en inteligencia artificial para mejorar los esfuerzos federales de ciberseguridad. Los nuevos programas de IA en departamentos como el Pentágono para reforzar los mecanismos de ciberdefensa incluirán programas piloto en sectores críticos como la energía.
• Un nuevo programa Cyber Trust Mark para el IoT: La orden anuncia el desarrollo del programa Cyber Trust Mark, que se publicó en la Estrategia Nacional de Ciberseguridad del año pasado, diseñada para certificar la seguridad de los dispositivos inteligentes para mejorar la protección tanto de las agencias federales como del sector privado. 

La Estrategia Nacional de Ciberseguridad de 2024

El NCS actualizado en junio de 2024 incluye 100 iniciativas federales —frente a las 69 de 2023—, con 31 nuevas iniciativas para abordar las amenazas emergentes y realinear los «incentivos para favorecer las inversiones a largo plazo en ciberseguridad y resiliencia». La estrategia actualizada también tiene como objetivo reforzar las infraestructuras críticas, con un mayor énfasis en las medidas de ciberseguridad específicas del sector para las infraestructuras sanitarias, educativas y de obras públicas, como los sistemas de aguas residuales.

Con tantos frentes en la guerra contra los ciberdelitos, puede ser fácil pasar por alto que el más importante casi siempre estará en su propio centro de datos. Desempaquetemos el NCS y lo que puede hacer para aprovechar su orientación y soporte.

Las nuevas amenazas exigen nuevas defensas

Muchos de los objetivos del informe responden a tecnologías que podrían demostrar ser espadas de doble filo en las manos equivocadas: 

• La inteligencia artificial, con herramientas como WormGPT, acabando con la superficie de lo que la IA hará en las manos equivocadas.
• La computación cuántica, con “el potencial de romper algunos de los estándares de cifrado más omnipresentes implementados actualmente”. El objetivo futuro es “priorizar la transición de las redes y los sistemas públicos vulnerables a los entornos basados en criptografías resistentes a la cuantificación y desarrollar estrategias de mitigación complementarias para proporcionar agilidad criptográfica frente a riesgos futuros desconocidos”.
• Los dispositivos de IoT, que estarán sujetos a un programa voluntario de etiquetado de ciberseguridad para desarrollar la «red inteligente del futuro» e incentivar a los fabricantes a cumplir unos estándares de ciberseguridad más altos.
• Cadenas de suministro digitales inteligentes y conectadas. Una iniciativa incluye proporcionar acceso y uso de herramientas de evaluación de riesgos de la cadena de suministro, junto con servicios de asistencia analítica profesional, para identificar, evaluar, mitigar y supervisar los riesgos de la cadena de suministro. 

La estrategia también aborda aún más el ransomware y promete colaboraciones globales para acabar con el ransomware y el ciberespionaje patrocinado por el estado. 

Un punto importante de la infraestructura pública crítica

La disrupción del pipeline de 2021 nos enseñó una valiosa lección: La contratación de un proveedor de infraestructura crítica puede tener un efecto dominó devastador. El primer pilar de la estrategia de 2024 incluye nuevos mandatos de que los proveedores de infraestructura deben cumplir unos estándares de ciberseguridad básicos, incluidos el agua, las redes eléctricas, los raíles y los oleoductos.

Estos procederán de un segundo desarrollo del Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) que se refinará y mejorará para seguir el ritmo de las tendencias tecnológicas y de amenazas, integrar las lecciones aprendidas y hacer que las mejores prácticas sean una práctica común.

Incluso si su organización no está entre las del sector público, es un enfoque que vale la pena emular. Ahora es el momento de estar atento y de tomar medidas para proteger los activos digitales más importantes para su empresa. 

Pilares y objetivos clave que hay que tener en cuenta

Pilar 1: Defender la infraestructura crítica

La infraestructura crítica ha estado ocupando los titulares de la ciberseguridad, lo que incluye la aviación, el ferrocarril, el petróleo y el gas, los residuos y el agua y la energía, además de sus proveedores externos. Es una prioridad en el NCS, que requerirá el cumplimiento obligatorio de los marcos actualizados del NIST, la Agencia de Seguridad de la Ciberseguridad y la Infraestructura (CISA) y más. La estrecha colaboración público-privada es un objetivo principal de este pilar, diseñado para impulsar el desarrollo y la adopción de software y hardware que sea seguro por diseño y seguro por defecto. 

Estas son las prioridades:

• Colaboración con los proveedores de software, hardware y servicios gestionados para ayudar a remodelar el panorama cibernético y reforzar la seguridad y la resiliencia. Esto incluye aplicar principios de seguridad por diseño —desarrollar productos para que estén seguros desde cero—.
• La resiliencia, la recuperabilidad y la disponibilidad/la conmutación por error segura de los sistemas y servicios clave de este sector —algo que puede lograrse con una arquitectura de backup por niveles—. (Más información sobre esto a continuación).
• Cumplimiento de todos los proveedores externos. Es tan seguro como su eslabón más débil.

Más información: Cómo poner en práctica las recomendaciones de CISA sobre «protección»

Pilar 2: Disrupción y desmantelamiento de los actores de amenazas

La administración ha prometido usar «todos los instrumentos de poder nacional», incluidas las campañas de desmantelamiento y disrupción contenciosas dirigidas a los actores maliciosos. La estrategia destaca específicamente:

• Impedir que las empresas paguen el rescate, lo que exige que tenga una arquitectura resiliente con copias de seguridad seguras como componente para hacer que el pago de los rescates sea un punto clave.
• Intercambio de inteligencia bidireccional mejorado —en el que CISA puede compartir advertencias y dar a las organizaciones privadas medios para compartir amenazas clasificadas a través de «centros» para unos esfuerzos de notificación más organizados—.

Esto es alentador, pero las organizaciones también tienen que mantenerse a la altura de lo ofensivo, no solo de lo defensivo. Esto se debe a saber quiénes son los atacantes y qué buscan y también a tener una visibilidad total de un parque de datos con detección avanzada de anomalías. Para hacer su parte, querrá unos registros de seguridad rápidos, precisos y accesibles, un SIEM con potentes tecnologías de almacenamiento subyacentes, por lo que la ingesta nunca es un cuello de botella y unos planes de backup para el proceso forense.

Pilar 3: Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia

Un tema clave de la estrategia es reducir la responsabilidad sobre las personas y las pequeñas empresas, a medida que el área de superficie de ataque sigue ampliándose con los proveedores externos y el software como servicio. La aplicación de unas políticas de cumplimiento y privacidad de los datos cada vez mejores ayudará a que los «vendedores de software y hardware sean responsables si no aplican unas prácticas de desarrollo de seguridad reconocidas».

Para incentivar la seguridad y la resiliencia, el NCS tiene como objetivo hacer que las organizaciones sean más responsables de la seguridad de los datos al hacer cumplir:

• Protección de los datos personales sensibles limitando la recogida y el uso. Es un buen momento para comprobar sus buenas prácticas de cumplimiento.
• Responsabilidad por las vulnerabilidades del software
• Cumplimiento obligatorio de cualquier proveedor federal (por ejemplo, FIPS o SOC 2 Tipo II)

El fondo de “respaldo” de los seguros cibernéticos para ayudar con los eventos catastróficos de seguridad sigue siendo un objetivo estratégico en virtud de este pilar.

Pilar 4: Invierta en un futuro resiliente 

Es el cuarto pilar, pero en mi opinión es el más importante —y el más procesable—. El objetivo federal es «[lead]el mundo de garantizar tecnologías e infraestructuras resilientes de última generación mediante inversiones estratégicas y acciones coordinadas y colaborativas». Esto incluye nuevas iniciativas para abordar las brechas de seguridad del Protocolo de Puerta de Enlace Fronterizo (BGP) y del Protocolo de lnternet versión 6 (IPv6). Según la estrategia, invertir en resiliencia significa: 

• Reducir las vulnerabilidades de la tecnología fundamental —incluida la infraestructura crítica, como el almacenamiento, que debería ser capaz de realizar copias de seguridad por niveles, garantías de recuperación basadas en SLA, copias instantáneas inmutables y tiempos de recuperación rápidos.
• Fortalecer y proteger el ecosistema de software de código abierto para reducir las vulnerabilidades de los proveedores de software externos.
• Soluciones de identidad digital con los controles “adecuados” para limitar o evitar el compromiso de las cuentas e identidades no humanas.
• Despliegue de una infraestructura de energía limpia para incorporar otra capa de resiliencia frente al aumento de los costes energéticos y las interrupciones —en línea con los objetivos de descarbonización del gobierno—. Esto empieza en el centro de datos.
• Cifrografía resistente a la cuantía con algoritmos postcuánticos.

Esto se suma a un concepto crítico: una arquitectura de resiliencia por niveles. Una arquitectura de resiliencia puede proteger todo su patrimonio de datos, que he descrito en este artículo. Es la mejor manera de tener todas las oportunidades de recuperarse después de un evento de seguridad.

Pilar 5: Forjar asociaciones internacionales para perseguir objetivos compartidos

La colaboración y la comunicación son vitales para reducir las áreas superficiales de los ataques, contrarrestar las amenazas, proteger las cadenas de suministro globales y apoyarse mutuamente después de un ataque. La Administración Nacional de las Telecomunicaciones y la Información ha invertido más de 140 millones de dólares del Fondo de Innovación de la Cadena de Suministro Inalámbrico Público para ayudar a fortalecer la resiliencia de la cadena de suministro global y reducir los costes para los consumidores y los operadores de red.

Si bien el gobierno trabaja para promover el «comportamiento estatal responsable» y dar a los aliados la mejor oportunidad de lograr la resiliencia de la ciberseguridad, el hecho es que las organizaciones serán un objetivo siempre que estén en funcionamiento. Para usted, esto significa ser diligente y prepararse para el peor de los casos. En Pure Storage, ayudamos a los clientes no solo a prepararse para lo peor, sino también a recuperarse de ello en un tiempo récord.

¿Cómo puede estar preparado? Ciberresiliencia demostrada y por niveles en la plataforma de datos de Pure Storage

En Pure Storage, compartimos estas prioridades y estamos innovando y evolucionando continuamente para mantener a nuestros clientes a la vanguardia de la ciberresiliencia y la seguridad. Nuestros acuerdos de nivel de servicio anunciados recientemente y nuestras capacidades de seguridad y ciberresiliencia basadas en la IA proporcionan a nuestros clientes una clara ventaja en la guerra en curso contra los ciberdelitos. 

¿Por dónde hay que empezar? La manera más efectiva de mantenerse resiliente es con una arquitectura de resiliencia por niveles basada en una plataforma de datos unificada como Pure Storage. Esto puede permitir que su empresa se recupere en minutos frente a horas o días.

1. Nivel 1: Datos primarios de misión crítica y copias de seguridad seguras. Almacene las aplicaciones críticas para el funcionamiento y de tres a siete días de Snapshots SafeMode™.
2. Nivel 2: Datos de segundo nivel asequibles, archivos de copias instantáneas y datos forenses. Mantenga las copias instantáneas de Nivel 1 descargadas de un modo asequible (preferiblemente de 6 a 12 meses) y los datos necesarios para los análisis forenses después de un ataque, y conserve una réplica del archivo para el almacenamiento “a largo plazo” (de 6 a 12 meses —o más, si es posible).
3. Nivel 3: Nivel de copia de seguridad rápida. Este nivel es para escenarios extremos y retención a largo plazo para el cumplimiento normativo o las aplicaciones que no garantizan copias instantáneas. 
4. Nivel 4: Un búnker de datos unidireccional. Para los desastres a gran escala, los búnkeres de datos son muy seguros y proporcionan sitios de recuperación de desastres opcionales adicionales detrás de los sitios de copia de seguridad primarios y secundarios. Puede almacenar años de datos en la capa de Nivel 4. 

Aun así, es cuestión de cuándo, no de si. Descubra más sobre nuestro acuerdo de nivel de servicio de recuperación cibernética recientemente actualizado en Evergreen//One™, que incluye el envío al siguiente día hábil de cabina(s) de recuperación limpia, para que tenga un entorno limpio al que recuperarse después de un ciberevento. 

Todos tenemos un papel importante que desempeñar en la guerra contra los ciberdelincuentes. Pure Storage ofrece la máxima tranquilidad en este panorama cambiante.

*Calendario de envío: El siguiente día laborable envía las cabinas a Norteamérica y EMEA. Tres días hábiles a Asia y Australia/Nueva Zelanda. El envío rápido puede estar disponible en función de la región.