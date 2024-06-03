En marzo de 2023, la administración de EE. UU. publicó el primer Plan de Implementación de la Estrategia Nacional de Ciberseguridad (NCSIP). Se presentó como un plan de acción del gobierno que consta de 27 objetivos estratégicos que priorizan las iniciativas críticas para proteger la seguridad nacional frente a las amenazas cibernéticas en curso.
Recientemente, se han añadido 31 iniciativas a este plan, y se han identificado varias agencias federales para liderar estos esfuerzos de cara al futuro.
El NCSIP describe varias acciones de implementación críticas para mejorar la posición nacional de ciberseguridad de EE. UU. Este esfuerzo implica la colaboración con diversos sectores y agencias de apoyo para regular y hacer cumplir nuevos estándares en buenas prácticas de ciberseguridad, al tiempo que se apoya el desarrollo de tecnologías más seguras.
Los cinco pilares básicos establecidos por el NCSIP se centran en las siguientes áreas:
La última versión del plan, publicado el 7 de mayo de 2024, presenta 31 iniciativas adicionales que se han incluido y agrupado dentro de los cinco pilares principales.
Estas son algunas de las incorporaciones más recientes:
Se han añadido nuevas iniciativas que abordan acciones diseñadas para promover buenas prácticas de ciberseguridad en una serie de sectores, como la sanidad y los servicios de agua y aguas residuales.
En el sector sanitario, la Casa Blanca trabajará con el Instituto Nacional de Estándares y Tecnología (NIST) para crear una estrategia a nivel del Departamento de Salud y Servicios Humanos (HHS) que imponga una mayor rendición de cuentas en este ámbito.
En el sector de los servicios de agua y aguas residuales, el Departamento de Agricultura de EE. UU. trabajará con la Agencia de Protección Ambiental (EPA) para promover la asistencia técnica en ciberseguridad, educación y formación.
El segundo pilar del NCSIP, centrado en "interrumpir y desmantelar a los actores de amenazas", ha visto varias adiciones nuevas con respecto a la colaboración para reducir el impacto y la probabilidad de campañas de ciberataques más grandes.
Ya se han especificado los plazos de implementación para la Estrategia inicial 2023 del Departamento de Defensa (DoD) que se implementó el año pasado, así como un renovado enfoque en la colaboración con entidades del sector privado para mejorar la velocidad y la utilidad de los esfuerzos de ciberseguridad.
Otra parte del NCSIP está diseñada para poner más responsabilidad en las marcas digitales influyentes para crear productos más seguros. La última versión del plan añade una nueva iniciativa para que el Departamento de Estado trabaje con el Grupo de Trabajo Conjunto contra el Ransomware, el Departamento de Justicia y otros socios interinstitucionales de EE. UU. para negar a los atacantes de ransomware refugios seguros en otras países.
También existen planes para actualizar la Estrategia Nacional de Investigación en protección de datos en colaboración con la Oficina de Política Científica y Tecnología (OSTP) para proteger la protección de datos de las personas cuando se almacenan y acceden a datos personales para análisis a gran escala.
Un pilar clave del NCSIP es proteger las tecnologías e infraestructuras de próxima generación mediante inversiones más inteligentes en formación y soporte en ciberseguridad.
El nuevo plan introduce la Estrategia Nacional de personal y Formación de ciberseguridad y prevé informar sobre su progreso durante el próximo año. Esta estrategia está diseñada para ayudar a desarrollar una guía de estrategias para mejorar los equipos de ciberseguridad y hacer que sea más fácil para los trabajadores entrar en este campo.
Se han añadido muchas otras iniciativas a esta última versión del NCSIP. Si bien los plazos para cada iniciativa varían, la mayoría tienen plazos que se extienden hasta el año fiscal 2025, con algunas iniciativas previstas para ejecutarse a finales de este año.
El NCSIP está diseñado para ser un plan dinámico con expectativas de que se actualice anualmente. La versión 2 de este plan representa la primera actualización anual y no debería sorprender a las organizaciones.
Las organizaciones del sector privado deberían esperar un aumento en los esfuerzos de colaboración con el gobierno a medida que se implementen estas nuevas iniciativas y mantenerse actualizadas a medida que se acerquen los plazos para los críticos objetivos.
Si bien muchas de las nuevas iniciativas afectan a industrias específicas, también puede haber impactos en todo el sector que requerirán que todas las organizaciones del sector privado se adapten rápidamente a las nuevas normas que se están implementando, con la orientación de agencias de apoyo y expertos de la industria.