La última directiva nacional sobre ciberseguridad: Lo que los equipos de seguridad deben saber

La Estrategia Nacional de Ciberseguridad (NCS, National Cybersecurity Strategy) es más que solo otro conjunto de pautas cibernéticas: es una llamada de atención. Las amenazas cibernéticas están aumentando, y los estados-nación y los delincuentes están apuntando a infraestructuras y empresas críticas como nunca antes. Estos no son riesgos teóricos. Están sucediendo ahora. 

La estrategia establece el tono de cómo el gobierno federal espera que las empresas den un paso adelante: Adopte prácticas de software seguras, ajuste la seguridad de la cadena de suministro y prepárese para las amenazas emergentes. Si su empresa no está alineada con estas expectativas, no solo es vulnerable a los ataques, sino que se arriesga a quedarse atrás en un panorama en el que la ciberseguridad ya no es opcional, sino que es un imperativo comercial. A continuación, veamos las últimas directivas de ciberseguridad y cómo las agencias federales y el sector privado pueden mantenerse resilientes y preparados.  Es importante tener en cuenta que, si bien muchas de estas directivas están orientadas al futuro desde una perspectiva tecnológica, AHORA es el momento de comenzar y elaborar un plan para abordarlas a largo plazo.

Novedades en 2025: Fortalecer y promover la innovación en la ciberseguridad del país

El 16 de enero de 2025, el presidente Joe Biden emitió una orden ejecutiva destinada a reforzar las defensas de ciberseguridad de la nación, abordar temas como la AI, las inquietudes de software de código abierto, la computación cuántica, la seguridad de IoT, las amenazas de robo de identidad (la identidad es el nuevo perímetro de seguridad de red) y los ataques dirigidos a la infraestructura crítica. En general, la directiva sigue algunas promesas clave hechas en el NCS del año pasado, entre ellas:

• Estándares mejorados para contratistas federales: Los estrictos estándares de ciberseguridad para los contratistas de tecnología del gobierno les exigirán que proporcionen evidencia verificable del cumplimiento de las prácticas seguras de desarrollo de software.
• Responsabilidad por las cadenas de suministro de software de terceros: Para mitigar las vulnerabilidades que amenazan los sistemas federales críticos, los proveedores de software deben presentar certificaciones y artefactos que demuestren el cumplimiento de las prácticas de desarrollo seguro. Estas presentaciones, validadas a través del repositorio de CISA para la certificación de software y los artefactos, responsabilizarán a los proveedores de abordar las vulnerabilidades conocidas, enfocarse en las evaluaciones, parches y contribuciones seguras.
• Consecuencias crecientes para los perpetradores de ciberamenazas extranjeras: La directiva amplía la autoridad para imponer sanciones a personas y entidades extranjeras que participan en ciberataques contra los EE. UU., con un enfoque particular en los ataques de ransomware dirigidos a infraestructuras críticas, como las instalaciones de atención médica.
• Una mirada a las medidas de seguridad resistentes a la cuantía: Las agencias federales deberán acelerar la transición a algoritmos criptográficos resistentes a la cuantía para proteger los datos sensibles contra amenazas futuras que plantean los avances en el descifrado de la computación cuántica. 
• Integración de la inteligencia artificial en la ciberdefensa: La directiva promueve el uso de herramientas basadas en inteligencia artificial para mejorar los esfuerzos federales de ciberseguridad. Los nuevos programas de AI dentro de departamentos como el Pentágono para reforzar los mecanismos de defensa cibernética incluirán programas piloto en sectores críticos como la energía.
• Un nuevo programa de Cyber Trust Mark para IoT: La orden anuncia el desarrollo del programa Cyber Trust Mark burlado en la Estrategia nacional de seguridad cibernética del año pasado, diseñado para certificar la seguridad de los dispositivos inteligentes para mejorar la protección tanto para las agencias federales como para el sector privado. 

La estrategia nacional de seguridad cibernética 2024

El NCS actualizado en junio de 2024 incluye 100 iniciativas federales, un aumento con respecto a las 69 de 2023, con 31 nuevas iniciativas para abordar las amenazas emergentes y realinear “incentivos para favorecer las inversiones a largo plazo en ciberseguridad y resiliencia”. La estrategia actualizada también tiene como objetivo reforzar las infraestructuras críticas, con un mayor énfasis en las medidas de ciberseguridad específicas del sector para las infraestructuras de atención de la salud, educación y obras públicas, como los sistemas de aguas residuales.

Con tantos frentes en la guerra contra el delito cibernético, puede ser fácil pasar por alto que el más importante casi siempre estará en su propio centro de datos. Desempaquetemos el NCS y lo que puede hacer para aprovechar su orientación y asistencia.

Las nuevas amenazas requieren nuevas defensas

Muchos de los objetivos del informe son en respuesta a tecnologías que podrían demostrar ser espadas de doble filo en las manos equivocadas: 

• Inteligencia artificial, con herramientas como WormGPT que acaban de raspar la superficie de lo que hará la AI en las manos equivocadas.
• La computación cuántica, con “el potencial de romper algunos de los estándares de cifrado más omnipresentes implementados hoy en día”. El objetivo futuro es “priorizar la transición de redes y sistemas públicos vulnerables a entornos basados en criptografía resistentes a la cantidad y desarrollar estrategias de mitigación complementarias para proporcionar agilidad criptográfica ante riesgos futuros desconocidos”.
• Los dispositivos IoT, que estarán sujetos a un programa voluntario de etiquetado de ciberseguridad para desarrollar la “red inteligente del futuro” e incentivar a los fabricantes a cumplir con estándares de ciberseguridad más altos.
• Cadenas de suministro digitales inteligentes y conectadas. Una iniciativa incluye proporcionar acceso y uso de herramientas de evaluación de riesgos de la cadena de suministro junto con servicios de asistencia analítica profesional para identificar, evaluar, mitigar y monitorear los riesgos de la cadena de suministro. 

La estrategia también aborda aún más el ransomware, prometendo colaboraciones globales para desmantelar el ransomware y el ciberespionaje patrocinado por el estado. 

Un enfoque importante en la infraestructura pública crítica

La interrupción del proceso de 2021 nos enseñó una lección valiosa: Eliminar un proveedor de infraestructura crítica puede tener un efecto dominó devastador. El primer pilar de la estrategia de 2024 incluye nuevos mandatos de que los proveedores de infraestructura deben cumplir con una línea de base de estándares de ciberseguridad, que incluyen agua, redes de energía, ferrocarril y tuberías.

Estos provendrán de un segundo desarrollo del marco de seguridad cibernética (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) que se refinará y mejorará para mantenerse al día con la tecnología y las tendencias de amenazas, integrar las lecciones aprendidas y hacer que las mejores prácticas sean prácticas comunes.

Incluso si su organización no está entre las del sector público, es un enfoque que vale la pena emular. Ahora es el momento de estar atento y tomar medidas para proteger los activos digitales más importantes para su empresa. 

Pilares y objetivos clave a tener en cuenta

Pilar 1: Defender la infraestructura crítica

La infraestructura crítica ha estado encabezando la ciberseguridad, incluida la aviación, el ferrocarril, el petróleo y el gas, los desechos y el agua, y la energía, además de sus proveedores externos. Es una prioridad en el NCS que requerirá el cumplimiento obligatorio de los marcos actualizados del NIST, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y más. La estrecha colaboración público-privada es un objetivo principal de este pilar, diseñado para impulsar el desarrollo y la adopción de software y hardware seguros por diseño y seguros de forma predeterminada. 

Las prioridades que se mencionan son las siguientes:

• Colaboración con software, hardware y proveedores de servicios gestionados para ayudar a reformar el panorama cibernético para reforzar la seguridad y la resiliencia. Eso incluye hacer cumplir los principios de seguridad por diseño: desarrollar productos para que estén seguros desde cero.
• Resistencia, recuperabilidad y disponibilidad/conmutación segura de sistemas y servicios clave en este sector, algo que se puede lograr con una arquitectura de copia de seguridad por niveles. (Más información sobre esto a continuación).
• Cumplimiento de todos los proveedores externos. Solo está tan seguro como su eslabón más débil.

Lea más: Cómo poner en acción las recomendaciones de CISA “protege”

Pilar 2: Interrumpir y desmantelar a los perpetradores

La administración ha prometido usar “todos los instrumentos de poder nacional”, incluidas las campañas de derribo y de interrupción contrapuestas dirigidas a actores maliciosos. La estrategia indica específicamente:

• Desalentar a las empresas a pagar el rescate, lo que requiere que tenga una arquitectura resiliente con copias de seguridad seguras como componente para hacer que el pago de rescates sea un punto de inflexión.
• Intercambio de inteligencia bidireccional mejorado, en el que CISA puede compartir advertencias y ofrecer a las organizaciones privadas medios para compartir amenazas clasificadas a través de “centros” para esfuerzos de informes más organizados.

Esto es alentador, pero las organizaciones también deben mantenerse a la ofensiva, no solo a la defensiva. Esto proviene de saber quiénes son los atacantes y qué buscan, y también de tener visibilidad total de un conjunto de datos con detección avanzada de anomalías. Para hacer su parte, querrá registros de seguridad rápidos, precisos y accesibles, SIEM con potentes tecnologías de almacenamiento subyacentes, por lo que la ingesta nunca es un cuello de botella y planes de copia de seguridad para el proceso forense.

Pilar 3: Dé forma a las fuerzas del mercado para impulsar la seguridad y la adaptación

Un tema clave en la estrategia es reducir la responsabilidad sobre las personas y las pequeñas empresas a medida que el área de superficie de ataque continúa expandiéndose con proveedores externos y software como servicio. Hacer cumplir cada vez más políticas de privacidad y cumplimiento de datos ayudará a que los “vendedores de software y hardware sean responsables si no emplean prácticas de desarrollo de seguridad reconocidas”.

Para incentivar la seguridad y la adaptación, el NCS tiene como objetivo hacer que las organizaciones sean más responsables de la seguridad de los datos al hacer cumplir lo siguiente:

• Protección de datos personales sensibles al limitar la recopilación y el uso. Es un buen momento para verificar sus mejores prácticas de cumplimiento.
• Responsabilidad por vulnerabilidades en el software
• Cumplimiento requerido de cualquier proveedor federal (p. ej., FIPS o SOC 2 tipo II)

El fondo de “respaldo” del seguro cibernético para ayudar con eventos de seguridad catastróficos sigue siendo un objetivo estratégico en virtud de este pilar.

Pilar 4: Invierta en un futuro resiliente 

Es el cuarto pilar, pero el más importante en mi opinión, y el más procesable. El objetivo federal es “[lead]el mundo para asegurar tecnologías e infraestructura resilientes de próxima generación a través de inversiones estratégicas y acciones coordinadas y colaborativas”. Esto incluye nuevas iniciativas para abordar las brechas de seguridad del Protocolo de puerta de enlace fronteriza (BGP) y el Protocolo de Internet versión 6 (IPv6). Según la estrategia, invertir en resiliencia significa: 

• Reducir las vulnerabilidades en la tecnología fundamental, incluida la infraestructura crítica, como el almacenamiento, que debe ser capaz de realizar copias de seguridad por niveles, garantías de recuperación basadas en SLA, snapshots inmutables y tiempos de recuperación rápidos.
• Fortalecer y asegurar el ecosistema de software de código abierto para reducir las vulnerabilidades de proveedores de software de terceros.
• Soluciones de identidad digital con los controles “correctos” para limitar o evitar el compromiso de identidades y cuentas no humanas.
• Implementar una infraestructura de energía limpia para incorporar otra capa de resiliencia a partir del aumento de los costos de energía y las interrupciones, en línea con los objetivos de descarbonización del gobierno. Esto comienza en el centro de datos.
• Criptografía resistente a Quantum con algoritmos poscuánticos.

Esto se suma a un concepto crítico: una arquitectura de adaptación por niveles. Una arquitectura de adaptación puede proteger todo su patrimonio de datos, lo que describí en este artículo. Es la mejor manera de tener todas las oportunidades de recuperarse después de un evento de seguridad.

Pilar 5: Forjar asociaciones internacionales para alcanzar objetivos compartidos

La colaboración y la comunicación son vitales para reducir las áreas de superficie de los ataques, contrarrestar las amenazas, asegurar las cadenas de suministro globales y apoyarse mutuamente después de un ataque. La Administración Nacional de Telecomunicaciones e Información ha invertido más de $140 millones del Fondo de Innovación de la Cadena de Suministro Inalámbrico Público para ayudar a fortalecer la adaptación de la cadena de suministro global y reducir los costos para los consumidores y los operadores de red.

Si bien el gobierno trabaja para promover el “comportamiento del estado responsable” y darles a los aliados la mejor oportunidad en cuanto a la adaptación a la ciberseguridad, el hecho sigue siendo que las organizaciones serán un objetivo mientras estén en funcionamiento. Para usted, esto significa ser diligente y prepararse para el peor de los casos. En Pure Storage, ayudamos a los clientes no solo a prepararse para lo peor, sino también a recuperarse de él en tiempo récord.

¿Cómo puede estar listo? Resistencia cibernética en capas comprobada en la plataforma de datos de Pure Storage

En Pure Storage, compartimos estas prioridades y estamos innovando y evolucionando continuamente para mantener a nuestros clientes a la vanguardia de la resiliencia cibernética y la seguridad. Nuestros SLA anunciados recientemente y las capacidades de seguridad impulsadas por AI y resiliencia cibernética brindan a nuestros clientes una clara ventaja en la guerra continua contra el delito cibernético. 

¿Dónde comenzar? La forma más efectiva de mantenerse resiliente es con una arquitectura de adaptación por niveles construida en una plataforma de datos unificada como Pure Storage. Esto puede permitir que su empresa se recupere en minutos frente a horas o días.

1. Nivel 1: Datos primarios de misión crítica y copias de seguridad seguras. Almacene las aplicaciones esenciales para las operaciones y de tres a siete días de snapshots SafeMode™.
2. Nivel 2: Datos asequibles de segundo nivel, archivos de snapshots y datos forenses. Mantenga las snapshots de nivel 1 descargadas de manera asequible (preferentemente de 6 a 12 meses) y los datos necesarios para la investigación forense después de un ataque, y mantenga un archivo de réplica para el almacenamiento “a largo plazo” (de 6 a 12 meses, o más, si es posible).
3. Nivel 3: Nivel de copia de seguridad rápida. Este nivel es para escenarios extremos y retención a largo plazo para cumplimiento o aplicaciones que no garantizan snapshots. 
4. Nivel 4: Un búnker de datos unidireccional. Para desastres a gran escala, los búnkeres de datos son altamente seguros y proporcionan sitios de recuperación ante desastres adicionales y opcionales detrás de sitios de copia de seguridad primarios y secundarios. Podría almacenar años de datos en el nivel 4. 

Aún así, es cuestión de cuándo, no de si. Descubra más sobre nuestro SLA de recuperación cibernética recientemente actualizado en Evergreen//One™ que incluye el envío al siguiente día hábil de arreglo(s)* de recuperación limpia para que tenga un entorno limpio para recuperarse después de un evento cibernético. 

Todos tenemos un papel importante que desempeñar en la guerra contra los ciberdelincuentes. Pure Storage ofrece la máxima tranquilidad en este panorama en evolución.

*Cronograma de envío: Envío de arreglos al siguiente día hábil a América del Norte y EMEA. Tres días hábiles a Asia y Australia/Nueva Zelanda. El envío acelerado puede estar disponible según la región.