Desde el inicio de su Administración, el Presidente ha dejado claro que la ciberseguridad es uno de los retos más importantes a los que nos enfrentamos como nación, y durante más de siete años ha actuado de forma integral para afrontar ese reto. Trabajando conjuntamente con el Congreso, en diciembre dimos otro paso adelante en este esfuerzo con la aprobación de la Ley de Ciberseguridad de 2015, que proporciona importantes herramientas necesarias para reforzar la ciberseguridad de la Nación, en particular facilitando que las empresas privadas compartan información sobre amenazas cibernéticas entre sí y con el Gobierno.
Pero el Presidente cree que hay que hacer más, para que los ciudadanos tengan las herramientas que necesitan para protegerse, las empresas puedan defender sus operaciones y su información, y el Gobierno haga lo que le corresponde para proteger a los estadounidenses y la información que nos confían. Por eso, hoy, el Presidente ha dado instrucciones a su Administración para que ponga en marcha un Plan de Acción Nacional de Ciberseguridad (CNAP) que adopte medidas a corto plazo y establezca una estrategia a largo plazo para mejorar la concienciación y las protecciones en materia de ciberseguridad, proteger la privacidad, mantener la seguridad pública, así como la seguridad económica y nacional, y capacitar a los estadounidenses para que asuman un mejor control de su seguridad digital.
El desafío
Desde la compra de productos a la gestión de empresas, pasando por la búsqueda de direcciones o la comunicación con nuestros seres queridos, el mundo en línea ha transformado radicalmente nuestra vida cotidiana. Pero así como la era digital, en continua evolución, presenta oportunidades ilimitadas para nuestra economía, nuestras empresas y nuestra gente, también presenta una nueva generación de amenazas a las que debemos adaptarnos para hacerles frente. Los delincuentes, los terroristas y los países que desean hacernos daño se han dado cuenta de que atacarnos en línea es a menudo más fácil que atacarnos en persona. Como cada vez se almacenan más datos sensibles en línea, las consecuencias de esos ataques son cada año más importantes. El robo de identidad es ahora el delito de más rápido crecimiento en Estados Unidos. Nuestros innovadores y emprendedores han reforzado nuestro liderazgo mundial y han hecho crecer nuestra economía, pero con cada nueva historia de una empresa de alto perfil pirateada o de un vecino estafado, más estadounidenses se preguntan si los beneficios de la tecnología podrían verse superados por sus costes.
El Presidente cree que hacer frente a estas nuevas amenazas es necesario y está a nuestro alcance. Pero requiere una audaz reevaluación de la forma en que abordamos la seguridad en la era digital. Si vamos a estar conectados, tenemos que estar protegidos. Tenemos que unirnos -Gobierno, empresas y particulares- para mantener el espíritu que siempre ha hecho grande a Estados Unidos.
Nuestro enfoque
Por ello, la Administración anuncia hoy una serie de medidas a corto plazo para mejorar las capacidades de ciberseguridad en el Gobierno Federal y en todo el país. Pero dada la complejidad y gravedad del problema, el Presidente también pide a algunos de los mejores pensadores estratégicos, empresariales y técnicos de nuestro país, ajenos a la Administración, que estudien e informen sobre qué más podemos hacer para mejorar la concienciación y las protecciones en materia de ciberseguridad, proteger la privacidad, mantener la seguridad pública, así como la seguridad económica y nacional, y capacitar a los estadounidenses para controlar mejor su seguridad digital. Es necesario actuar con valentía para proteger nuestra sociedad digital y mantener la competitividad de Estados Unidos en la economía digital mundial.
El Plan de Acción Nacional de Ciberseguridad del Presidente (CNAP) es la culminación de más de siete años de esfuerzos decididos por parte de esta Administración, basándose en las lecciones aprendidas de las tendencias, amenazas e intrusiones en materia de ciberseguridad. Este plan dirige al Gobierno Federal a tomar nuevas medidas ahora y fomenta las condiciones necesarias para mejoras a largo plazo en nuestro enfoque de la ciberseguridad en todo el Gobierno Federal, el sector privado y nuestras vidas personales. Entre los aspectos más destacados del CNAP se incluyen acciones para:
- Crear la "Comisión para la Mejora de la Ciberseguridad Nacional". Esta Comisión estará compuesta por los mejores pensadores estratégicos, empresariales y técnicos de fuera del Gobierno, incluidos los miembros que designen los líderes bipartidistas del Congreso. La Comisión formulará recomendaciones sobre las medidas que pueden adoptarse en la próxima década para reforzar la ciberseguridad tanto en el sector público como en el privado, protegiendo al mismo tiempo la privacidad, manteniendo la seguridad pública y la seguridad económica y nacional, fomentando el descubrimiento y desarrollo de nuevas soluciones técnicas y reforzando las asociaciones entre la Administración federal, estatal y local y el sector privado en el desarrollo, promoción y uso de tecnologías, políticas y mejores prácticas de ciberseguridad.
- Modernizar la TI gubernamental y transformar el modo en que el Gobierno gestiona la ciberseguridad mediante la propuesta de un Fondo de Modernización de la Tecnología de la Información de 3.100 millones de dólares, que permitirá la retirada, sustitución y modernización de la TI heredada que es difícil de asegurar y cara de mantener, así como la creación de un nuevo cargo -el de Director Federal de Seguridad de la Información- para impulsar estos cambios en todo el Gobierno.
- Permita a los estadounidenses proteger sus cuentas en línea yendo más allá de las contraseñas y añadiendo una capa adicional de seguridad. Combinando juiciosamente una contraseña segura con factores adicionales, como una huella dactilar o un código de un solo uso enviado en un mensaje de texto, los estadounidenses pueden hacer que sus cuentas sean aún más seguras. Este enfoque en la autenticación multifactor será fundamental para una nueva Campaña Nacional de Concienciación sobre Ciberseguridad lanzada por la Alianza Nacional de Ciberseguridad diseñada para armar a los consumidores con información sencilla y práctica para protegerse en un mundo cada vez más digital. La Alianza Nacional de Ciberseguridad se asociará con empresas tecnológicas líderes como Google, Facebook, DropBox y Microsoft para facilitar a millones de usuarios la protección de sus cuentas en línea, y con empresas de servicios financieros como MasterCard, Visa, PayPal y Venmo que están haciendo más seguras las transacciones. Además, el Gobierno Federal tomará medidas para salvaguardar los datos personales en las transacciones en línea entre los ciudadanos y el gobierno, incluso a través de un nuevo plan de acción para impulsar la adopción y el uso por parte del Gobierno Federal de métodos eficaces de prueba de identidad y de autenticación multifactor fuerte y una revisión sistemática de dónde puede el Gobierno Federal reducir la dependencia de los Números de Seguridad Social como identificador de los ciudadanos.
- Invertir más de 19.000 millones de dólares en ciberseguridad como parte del presupuesto del Presidente para el año fiscal 2017. Esto representa un aumento de más del 35% con respecto al año fiscal 2016 en los recursos federales globales para la ciberseguridad, una inversión necesaria para asegurar nuestra nación en el futuro.
Mediante estas medidas, otras nuevas que se describen a continuación y otros esfuerzos políticos repartidos por todo el Gobierno Federal, la Administración ha trazado un rumbo para mejorar nuestra seguridad a largo plazo y reforzar el liderazgo estadounidense en el desarrollo de las tecnologías que impulsan el mundo digital.
Comisión sobre la mejora de la ciberseguridad nacional
Durante más de cuatro décadas, la tecnología informática e Internet han proporcionado una ventaja estratégica a Estados Unidos, sus ciudadanos y sus aliados. Pero si no se abordan los problemas fundamentales de ciberseguridad e identidad, la dependencia de Estados Unidos de la infraestructura digital corre el riesgo de convertirse en una fuente de responsabilidad estratégica. Para abordar estas cuestiones, debemos diagnosticar y abordar las causas de las vulnerabilidades cibernéticas, y no limitarnos a tratar los síntomas. Hacer frente a este reto exigirá un compromiso nacional a largo plazo.
Para llevar a cabo esta revisión, el Presidente ha creado la Comisión para la Mejora de la Ciberseguridad Nacional, compuesta por los principales expertos en estrategia, negocios y tecnología de fuera del Gobierno, incluidos los miembros que designen los líderes bipartidistas del Congreso. La Comisión se encargará de hacer recomendaciones detalladas sobre las medidas que pueden adoptarse en la próxima década para mejorar la concienciación y las protecciones en materia de ciberseguridad en todo el sector privado y a todos los niveles de la Administración, para proteger la privacidad, mantener la seguridad pública y la seguridad económica y nacional, y capacitar a los estadounidenses para controlar mejor su seguridad digital. El Instituto Nacional de Normalización y Tecnología prestará apoyo a la Comisión para que pueda llevar a cabo su misión. La Comisión informará al Presidente con sus conclusiones y recomendaciones específicas antes de finales de 2016, proporcionando al país una hoja de ruta para futuras acciones que se basarán en el CNAP y protegerán nuestra seguridad en línea a largo plazo.
Elevar el nivel de ciberseguridad en todo el país
Mientras la Comisión lleva a cabo esta revisión prospectiva, seguiremos elevando el nivel de ciberseguridad en todo el país.
Reforzar la ciberseguridad federal
El Gobierno Federal ha realizado progresos significativos en la mejora de sus capacidades de ciberseguridad, pero aún queda trabajo por hacer. Para ampliar ese progreso y hacer frente a los retos sistémicos de larga data en materia de ciberseguridad federal, debemos reexaminar el enfoque heredado de nuestro Gobierno en materia de ciberseguridad y tecnología de la información, que requiere que cada agencia construya y defienda sus propias redes. Estas acciones se basan en los cimientos establecidos por los Objetivos Prioritarios de Ciberseguridad entre Agencias y la Estrategia de Ciberseguridad y Plan de Implementación de 2015.
- El Presupuesto del Presidente para 2017 propone un Fondo de Modernización de las Tecnologías de la Información de 3.100 millones de dólares, como anticipo de la revisión integral que debe acometerse en los próximos años. Este fondo rotatorio permitirá a los organismos invertir dinero por adelantado y rentabilizarlo con el tiempo retirando, sustituyendo o modernizando infraestructuras, redes y sistemas informáticos anticuados, caros de mantener, poco funcionales y difíciles de proteger.
- La Administración ha creado el cargo de Director Federal de Seguridad de la Información para impulsar la política, la planificación y la aplicación de la ciberseguridad en todo el Gobierno Federal. Es la primera vez que habrá un alto funcionario dedicado exclusivamente a desarrollar, gestionar y coordinar la estrategia, la política y las operaciones de ciberseguridad en todo el ámbito federal.
- La Administración está exigiendo a los organismos que identifiquen y prioricen sus activos informáticos de mayor valor y más expuestos al riesgo y que, a continuación, adopten medidas concretas adicionales para mejorar su seguridad.
- El Departamento de Seguridad Nacional, la Administración de Servicios Generales y otras agencias federales aumentarán la disponibilidad de servicios compartidos de TI y ciberseguridad a escala gubernamental, con el objetivo de que cada agencia individual deje de construir, poseer y operar su propia TI cuando existan opciones más eficientes, eficaces y seguras, así como de garantizar que las agencias individuales no queden solas para defenderse de las amenazas más sofisticadas.
- El Departamento de Seguridad Nacional está mejorando la ciberseguridad federal ampliando los programas EINSTEIN y de Diagnóstico y Mitigación Continuos. El presupuesto del presidente para 2017 apoya que todos los organismos civiles federales adopten estas capacidades.
- El Departamento de Seguridad Nacional está aumentando drásticamente el número de equipos civiles federales de ciberdefensa hasta un total de 48, mediante la contratación de los mejores talentos en ciberseguridad de todo el Gobierno Federal y del sector privado. Estos equipos permanentes protegerán las redes, los sistemas y los datos de todo el Gobierno Civil Federal mediante la realización de pruebas de penetración y la búsqueda proactiva de intrusos, así como proporcionando respuesta a incidentes y experiencia en ingeniería de seguridad.
- El Gobierno Federal, a través de esfuerzos como la Iniciativa Nacional para la Educación en Ciberseguridad, mejorará la educación y formación en ciberseguridad en todo el país y contratará a más expertos en ciberseguridad para dar seguridad a las agencias federales. Como parte del CNAP, el Presupuesto del Presidente invierte 62 millones de dólares en personal de ciberseguridad para:
- Ampliar el programa de Becas para el Servicio mediante la creación de un programa de Reserva CyberCorps, que ofrecerá becas a los estadounidenses que deseen obtener una formación en ciberseguridad y servir a su país en el gobierno federal civil;
- Elaborar un plan de estudios básico sobre ciberseguridad que garantice que los licenciados en ciberseguridad que deseen incorporarse a la Administración Federal posean los conocimientos y aptitudes necesarios,
- Reforzar el Programa de Centros Nacionales de Excelencia Académica en Ciberseguridad para aumentar el número de instituciones académicas y estudiantes participantes, apoyar mejor a las instituciones que participan actualmente, aumentar el número de alumnos que estudian ciberseguridad en esas instituciones y mejorar los conocimientos de los estudiantes mediante la evolución de los programas y planes de estudio.
- El Presupuesto del Presidente adopta medidas adicionales para ampliar la plantilla de ciberseguridad:
- Mejorar los programas de condonación de préstamos estudiantiles para los expertos en ciberseguridad que se incorporen a la plantilla federal;
- Catalizar la inversión en educación en ciberseguridad como parte de un sólido plan de estudios de informática a través de la Iniciativa del Presidente "Informática para todos".
Capacitar a las personas
La privacidad y la seguridad de todos los estadounidenses en línea en su vida cotidiana es cada vez más integral para nuestra seguridad nacional y nuestra economía. Las nuevas medidas que se exponen a continuación se basan en la Iniciativa BuySecure de 2014 del Presidente para reforzar la seguridad de los datos de los consumidores.
- El Presidente pide a los estadounidenses que vayan más allá de la contraseña y utilicen múltiples factores de autenticación al iniciar sesión en cuentas en línea. Empresas privadas, organizaciones sin ánimo de lucro y el Gobierno Federal están trabajando juntos para ayudar a más estadounidenses a mantenerse seguros en línea a través de una nueva campaña de concienciación pública centrada en la adopción generalizada de la autenticación multifactor. Basándose en la campaña Stop.Think.Connect. y en los esfuerzos derivados de la Estrategia Nacional para las Identidades de Confianza en el Ciberespacio, la Alianza Nacional de Ciberseguridad se asociará con las principales empresas tecnológicas y la sociedad civil para promover este esfuerzo y facilitar a millones de usuarios la seguridad de sus cuentas en línea. Esto apoyará un esfuerzo más amplio para aumentar la concienciación pública sobre el papel del individuo en la ciberseguridad.
- El Gobierno Federal está acelerando la adopción de la autenticación multifactor fuerte y la prueba de identidad para los servicios digitales del Gobierno Federal orientados al ciudadano. La Administración de Servicios Generales establecerá un nuevo programa que protegerá y asegurará mejor los datos y la información personal de los estadounidenses cuando interactúen con los servicios del Gobierno Federal, incluidos los datos fiscales y la información sobre prestaciones.
- La Administración está llevando a cabo una revisión sistemática de los ámbitos en los que el Gobierno Federal puede reducir el uso del número de la Seguridad Social como identificador de los ciudadanos.
- La Comisión Federal de Comercio ha relanzado recientemente IdentityTheft.Gov, un recurso único para que las víctimas denuncien el robo de identidad, creen un plan de recuperación personal e impriman cartas y formularios precumplimentados para enviar a agencias de crédito, empresas y cobradores de deudas.
- La Agencia Federal para el Desarrollo de la Pequeña Empresa (SBA), en colaboración con la Comisión Federal de Comercio, el Instituto Nacional de Normas y Tecnología (NIST) y el Departamento de Energía, ofrecerá formación en ciberseguridad para llegar a más de 1,4 millones de pequeñas empresas y a las partes interesadas de las pequeñas empresas a través de 68 oficinas de distrito de la SBA, 9 centros NIST Manufacturing Extension Partnership y otras redes regionales de todo el país.
- La Administración anuncia nuevos hitos en la Iniciativa BuySecure del Presidente para asegurar las transacciones financieras. A fecha de hoy, el Gobierno Federal ha suministrado más de 2,5 millones de tarjetas de pago Chip-and-PIN más seguras, y ha realizado la transición a esta nueva tecnología de todo el parque de lectores de tarjetas gestionado por el Departamento del Tesoro. Gracias al liderazgo del Gobierno y del sector privado, en Estados Unidos se han emitido más tarjetas con chip seguras que en ningún otro país del mundo.
Aumentar la seguridad y resistencia de las infraestructuras críticas
La seguridad nacional y económica de Estados Unidos depende del funcionamiento fiable de las infraestructuras críticas del país. Una asociación continua con los propietarios y operadores de infraestructuras críticas mejorará la ciberseguridad y aumentará la resistencia de la nación. Este trabajo se basa en las anteriores Órdenes Ejecutivas del Presidente centradas en la ciberseguridad sobre Infraestructuras Cr íticas (2013) y el Intercambio de Información (2015).
- El Departamento de Seguridad Nacional, el Departamento de Comercio y el Departamento de Energía están aportando recursos y capacidades para establecer un Centro Nacional de Resistencia a la Ciberseguridad en el que empresas y organizaciones sectoriales puedan probar la seguridad de los sistemas en un entorno contenido, por ejemplo sometiendo una réplica de la red eléctrica a un ciberataque.
- El Departamento de Seguridad Interior duplicará el número de asesores de ciberseguridad disponibles para ayudar a las organizaciones del sector privado con evaluaciones de ciberseguridad personalizadas y en persona y con la aplicación de las mejores prácticas.
- El Departamento de Seguridad Nacional está colaborando con UL y otros socios del sector para desarrollar un Programa de Garantía de Ciberseguridad con el fin de probar y certificar los dispositivos conectados en red dentro del "Internet de los objetos", ya sean frigoríficos o bombas de infusión médica, de modo que cuando usted compre un nuevo producto, pueda estar seguro de que ha sido certificado para cumplir las normas de seguridad.
- El Instituto Nacional de Normalización y Tecnología (NIST) está recabando opiniones para seguir desarrollando su Marco de Ciberseguridad con el fin de mejorar la ciberseguridad de las infraestructuras críticas. Esto se produce después de dos años de adopción por parte de organizaciones de todo el país y de todo el mundo.
- Ayer, el Secretario de Comercio Pritzker cortó la cinta del nuevo Centro Nacional de Ciberseguridad de Excelencia, una asociación de investigación y desarrollo público-privada que permitirá a la industria y al gobierno trabajar juntos para desarrollar y desplegar soluciones técnicas para los desafíos de ciberseguridad de alta prioridad y compartir esos hallazgos en beneficio de la comunidad en general.
- La Administración hace un llamamiento a las principales aseguradoras sanitarias y a las partes interesadas en la atención sanitaria para que les ayuden a adoptar nuevas e importantes medidas para mejorar sus prácticas de gestión de datos y garantizar que los consumidores puedan confiar en que sus datos sanitarios confidenciales estarán seguros, protegidos y disponibles para orientar la toma de decisiones clínicas.
Tecnología segura
Incluso mientras trabajamos para mejorar nuestras defensas hoy, sabemos que la nación debe invertir enérgicamente en la ciencia, la tecnología, las herramientas y las infraestructuras del futuro para garantizar que se diseñan pensando en una seguridad sostenible.
- La Administración publica hoy su Plan Estratégico Federal de Investigación y Desarrollo en Ciberseguridad para 2016. Este plan, que se solicitó en la Ley de Mejora de la Ciberseguridad de 2014, establece objetivos estratégicos de investigación y desarrollo para que el país avance en tecnologías de ciberseguridad basadas en pruebas científicas de eficacia y eficiencia.
- Además, el Gobierno colaborará con organizaciones como la Iniciativa de Infraestructura Básica de la Fundación Linux para financiar y asegurar "utilidades" de Internet de uso común, como programas, protocolos y normas de código abierto. Al igual que nuestras carreteras y puentes necesitan reparaciones y mantenimiento periódicos, lo mismo ocurre con las conexiones técnicas que permiten la fluidez de la superautopista de la información.
Disuadir, disuadir y desbaratar actividades maliciosas en el ciberespacio
Proteger mejor nuestra propia infraestructura digital es sólo una parte de la solución. Debemos liderar el esfuerzo internacional en la adopción de principios de comportamiento estatal responsable, incluso mientras tomamos medidas para disuadir e interrumpir la actividad maliciosa. No podemos perseguir estos objetivos en solitario, sino en colaboración con nuestros aliados y socios de todo el mundo.
- En 2015, los miembros del G20 se unieron a Estados Unidos en la afirmación de importantes normas, entre ellas la aplicabilidad del derecho internacional al ciberespacio, la idea de que los Estados no deben llevar a cabo el robo cibernético de propiedad intelectual con fines comerciales, y en la acogida del informe de un Grupo de Expertos Gubernamentales de las Naciones Unidas, que incluía una serie de normas adicionales para promover la cooperación internacional, prevenir ataques contra infraestructuras críticas civiles y apoyar a los equipos de respuesta a emergencias informáticas que prestan servicios de reconstitución y mitigación. La Administración se propone institucionalizar y aplicar estas normas mediante nuevos compromisos bilaterales y multilaterales y medidas de fomento de la confianza.
- El Departamento de Justicia, incluida la Oficina Federal de Investigación, está aumentando la financiación de actividades relacionadas con la ciberseguridad en más de un 23% para mejorar sus capacidades de identificación, interrupción y detención de ciberagentes malintencionados.
- El Mando Cibernético de EE.UU. está creando una Fuerza de Misión Cibernética de 133 equipos formados por 6.200 militares, civiles y personal de apoyo de contratistas de todos los departamentos militares y componentes de defensa. La Cyber Mission Force, que estará plenamente operativa en 2018, ya está empleando capacidades en apoyo de los objetivos del Gobierno de Estados Unidos en todo el espectro de las operaciones cibernéticas.
Mejorar la respuesta a los ciberincidentes
Aunque nos centremos en prevenir y disuadir las actividades cibernéticas maliciosas, también debemos mantener la capacidad de recuperación cuando se producen los acontecimientos. El año pasado, el país se enfrentó a una amplia gama de intrusiones, desde actividades delictivas hasta ciberespionaje. Aplicando las lecciones aprendidas de incidentes anteriores podemos mejorar la gestión de futuros incidentes cibernéticos y aumentar la ciberresiliencia del país.
- Para esta primavera, la Administración hará pública una política de coordinación nacional de incidentes cibernéticos y una metodología de gravedad para evaluar los incidentes cibernéticos, de modo que los organismos gubernamentales y el sector privado puedan comunicarse eficazmente y ofrecer un nivel de respuesta adecuado y coherente.
Proteger la intimidad de las personas
En coordinación con los esfuerzos de tecnología de la información y ciberseguridad mencionados anteriormente, la Administración ha puesto en marcha un esfuerzo pionero para mejorar la forma en que los organismos de todo el Gobierno Federal protegen la privacidad de las personas y su información. La privacidad ha sido fundamental para nuestra nación desde su creación, y en la era digital de hoy salvaguardar la privacidad es más crítico que nunca.
- Hoy, el Presidente ha firmado una Orden Ejecutiva por la que se crea un Consejo Federal de Privacidad permanente, que reunirá a los responsables de privacidad de todo el Gobierno para ayudar a garantizar la aplicación de directrices federales de privacidad más estratégicas y exhaustivas. Al igual que la ciberseguridad, la privacidad debe abordarse de manera eficaz y continua a medida que nuestra nación adopta nuevas tecnologías, promueve la innovación, aprovecha los beneficios de los macrodatos y se defiende contra las amenazas cambiantes.
Financiar la ciberseguridad
Para aplicar estos cambios radicales, el Gobierno Federal tendrá que invertir recursos adicionales en su ciberseguridad. Por ello, el presupuesto de 2017 asigna más de 19.000 millones de dólares a la ciberseguridad, lo que supone un aumento de más del 35% respecto al nivel aprobado en 2016. Estos recursos permitirán a los organismos elevar su nivel de ciberseguridad, ayudar a las organizaciones del sector privado y a los particulares a protegerse mejor, interrumpir y disuadir la actividad de los adversarios y responder más eficazmente a los incidentes.
Contacto con los medios:
Jessica Beffa
Thatcher+Co.
720-413-4938
ncsa@thatcherandco.com