Testimony of Kiersten E. Todt Managing Director, The Cyber Readiness Institute
United States House of Representatives Committee on Small Business
Presidenta Velázquez, miembro de rango Luetkemeyer, vicepresidente Mfume y vicepresidente miembro de rango Williams, gracias por la oportunidad de declarar ante ustedes. Actualmente ejerzo como directora general del Cyber Readiness Institute, una iniciativa sin fines de lucro que convoca a altos ejecutivos de empresas globales para compartir recursos y buenas prácticas que informan el desarrollo de herramientas de ciberseguridad gratuitas para pequeñas y medianas empresas (pymes).
Los ataques a la infraestructura digital de nuestra nación, particularmente durante los últimos doce meses, a través del compromiso de las pequeñas y medianas empresas (pymes), subrayan la necesidad urgente de cerrar una brecha crucial en las ciberdefensas de nuestra nación.
Cuando pensamos en ciberseguridad, tendemos a pensar en un nivel general: sobre entidades estatales y secretos de estado; sobre ataques a millones de identidades en línea; sobre amenazas directas a la infraestructura principal. Y cuando pensamos en soluciones, tendemos a centrarnos en los gigantes digitales y en la formulación de políticas nacionales o multinacionales. Esas soluciones políticas son necesarias y apropiadas, pero no son suficientes. Las amenazas a las que nos enfrentamos, como nación y como consumidores y ciudadanos individuales, no se limitan al nivel general. Como dice el refrán, una cadena es tan fuerte como su eslabón más débil. A día de hoy, esa cadena es la cadena de suministro de nuestra economía, y nuestras pequeñas y medianas empresas (pymes), un eslabón débil.
Las pymes, que están constreñidas por recursos limitados y no pueden invertir proporcionalmente en ciberseguridad, expanden nuestra exposición al riesgo de manera significativa. El ochenta por ciento de las empresas estadounidenses tienen menos de 10 empleados y el 95% tiene menos de 100. Las pymes son el pilar de nuestra economía, pero inherentemente frágiles. Durante la pandemia, según el administrador de la SBA, una empresa pequeña cerraba cada hora. Estas pequeñas empresas carecen de la capacidad de recuperación para resistir un aluvión de ciberataques. Las pequeñas empresas no tienen las redes de seguridad que tienen las grandes empresas, y un ataque de cualquier tamaño puede desafiar la viabilidad de las pymes.
A finales de 2020 y principios de este año, experimentamos el impacto de los ataques a SolarWinds y Microsoft Exchange. A principios de este año, también hemos sido testigos del impacto de la interrupción de la cadena de suministro a través de los ataques contra Colonial Pipeline y JBS. Más recientemente, nos hemos visto obligados a comprender que, además de las cadenas de suministro físicas, todas las empresas, incluidas las pymes, deben prestar atención a su cadena de suministro de TI. Estos sucesos nos han conducido a otro llamado «punto de inflexión», «así llamado» porque usamos este término con frecuencia cuando se trata de ciberseguridad, pero seguimos sin hacer lo necesario para mejorar las ciberdefensas de Estados Unidos. Estos acontecimientos y ataques son signos de los desafíos que enfrentamos. Las políticas no son suficientes. Ni tampoco podemos limitarnos a reducir las herramientas y técnicas empleadas por las grandes corporaciones a versiones más pequeñas para las pymes. Muchas pymes están haciendo lo que los expertos les dicen que hagan: actualizar y parchear el software, cambiar contraseñas, eliminar códigos maliciosos, pero ni estas ni nosotros podemos dejarnos llevar por la creencia de que están haciendo lo suficiente.
Las PYMES necesitan acceso a recursos de ciberseguridad y respaldo del gobierno federal, además de programas y enfoques prescriptivos y fáciles de adoptar que fortalezcan sus operaciones diarias. Ya que una pequeña empresa puede no tener un departamento o incluso un solo empleado enfocado únicamente en ciberseguridad, los enfoques basados en la creación de un cambio cultural a través del comportamiento humano y la educación son fundamentales para ayudar a las pymes a ser más resilientes. El comportamiento humano puede ser un factor multiplicador de la ciberseguridad en las pymes (y también en las empresas más grandes). Las pymes deben recibir educación sobre las amenazas y las medidas principales que deben adoptar para ser resilientes.
Existen muchas amenazas para las pymes, pero el ransomware, phishing y robo de credenciales (robo de contraseñas) se encuentran entre las más graves. Se espera que estas amenazas aumenten a medida que los sectores sigan realizando más operaciones en línea debido a la naturaleza cambiante del trabajo, después de la pandemia. Este rápido cambio ha creado brechas en la resiliencia cibernética, porque las empresas, sobre todo las que tienen menos recursos, luchan por mantenerse al día. Los ciberdelincuentes están aprovechando el aumento de estas vulnerabilidades de modo fácil y frecuente.
Las consecuencias de un riesgo de ciberseguridad no solo son relevantes para la empresa afectada, sino que también exponen a otras empresas de su cadena de suministro. Puesto que más de dos tercios de las grandes empresas subcontratan una parte de sus funciones y permiten el acceso de terceros a sus datos, una protección cibernética insuficiente entre las pymes también puede tener consecuencias para las empresas más grandes, como pudimos observar con SolarWinds y Kaseya. Un informe de 2020 elaborado por Accenture encontró que hasta el 40 % de las violaciones cibernéticas son indirectas, lo cual significa que eligen eslabones débiles de las cadenas de suministro o ecosistemas empresariales.
Los desafíos de seguridad cibernética de nuestra nación son diversos. Una forma fundamental en la que podemos mejorar nuestras defensas es apoyando e invirtiendo en la preparación cibernética de las pequeñas y medianas empresas. Los cientos de miles de pymes de Estados Unidos, movilizadas, educadas y respaldadas para ser nuestro frente de defensa en materia de ciberdefensa, pueden convertirse en una gran fortaleza para nuestro país.
La inversión principal en la construcción de una defensa sólida proporcionará grandes dividendos. El gobierno federal puede desempeñar un papel fundamental. A principios de este año, el Cyber Readiness Institute publicó un libro blanco, «La necesidad urgente de fortalecer la preparación cibernética de las pequeñas y medianas empresas: Una propuesta para la administración Biden», que describe medidas para ayudar a las pequeñas empresas. Aquí hay cinco medidas, del libro blanco, que el gobierno federal puede adoptar a día de hoy y que impactarán de manera oportuna y mesurable en las ciberdefensas de las pymes.
#1: Lanzar una campaña nacional de formación para la preparación cibernética. La conciencia es fundamental. Para las pymes y toda la población, necesitamos una campaña nacional de concienciación dinámica, accesible y fácil de entender.
Como nación, tenemos un largo historial en el uso de campañas de concienciación pública para salvar vidas y cambiar comportamientos, desde incendios forestales o el uso del cinturón de seguridad, hasta los anuncios de «si ve algo, diga algo» posteriores al 11 de septiembre. Ahora es el momento de organizar una campaña nacional de concienciación que se centre en el papel del comportamiento humano en la ciberseguridad y eduque a todos sobre las medidas que nos protegerán a todos. Existe el apoyo público para una campaña del gobierno: En una encuesta del CRI de 2021, más del 60 % de las pymes de EE. UU. y del mundo, creen que el gobierno debería organizar una campaña nacional de concienciación pública para promover la preparación cibernética.
La ciberseguridad es un tema complejo que no se reduce fácilmente a un simple mensaje. Una campaña de servicio público eficaz debería centrarse en un único problema de ciberseguridad básico, como el uso de la autenticación multifactor, que según los expertos reduciría los ciberataques de forma significativa. Centrarse en un solo tema con un mensaje recurrente sencillo ayudará a proteger a las pymes frente a los métodos preferidos por los piratas informáticos.
#2: Crear un centro de ciberseguridad para pymes. Una campaña nacional de concienciación centrada en la preparación cibernética lógicamente remitirá a las pymes a una lista de recursos públicos y privados disponibles. En la actualidad, esos recursos están dispersos en varias agencias gubernamentales, que a veces dan consejos que son demasiado técnicos para muchos propietarios de empresas que no tienen personal informático interno o que subcontratan la ciberseguridad. Considerando la labor en curso por parte de la Agencia de seguridad de infraestructura y ciberseguridad (CISA) para las PYMES, recomendamos que la CISA sea la agencia mejor situada para encargarse de la gestión de los recursos de seguridad cibernética para las PYMES. La agencia encargada de gestionar los recursos también debería tener como misión principal la tarea de simplificar los conceptos relacionados con la ciberseguridad para que sean accesibles y comprensibles para los propietarios de las empresas.
#3: Incentivar la ciberseguridad. Para fomentar las inversiones de las pymes en ciberseguridad, el gobierno federal debería ofrecer incentivos en forma de créditos fiscales. El Departamento del Tesoro, en colaboración con la Administración de pequeñas empresas (SBA) y la CISA, deberían establecer directrices sobre los requisitos necesarios para los créditos fiscales para la inversión de las PYMES en ciberseguridad. Aunque los créditos fiscales disminuirán la cantidad de ingresos tributables que recauda el gobierno, una mejor ciberseguridad reducirá el daño económico provocado por los atacantes cibernéticos y tendrá un efecto neto positivo en la seguridad, fortaleza y resiliencia de la economía digital.
Colaborando con otras agencias y solicitando las opiniones del sector, el Departamento del Tesoro puede establecer requisitos para que las empresas indiquen si han tomado medidas para la preparación para el ciberespacio antes de recibir cualquier crédito fiscal. Estos estándares deberían exigir educación y formación en ciberseguridad para que los empleados reúnan los requisitos del crédito. La educación debería recalcar la necesidad de crear una cultura de la ciberseguridad en el lugar de trabajo. La concienciación sobre los riesgos que implican las infracciones cibernéticas y los comportamientos que reducen estos riesgos deben integrarse en las acciones de todos, desde los empleados hasta la dirección de la empresa, para que los empleados entiendan sus responsabilidades y se tomen medidas para garantizar que la organización esté preparada cibernéticamente.
#4: Establecer normas de ciberseguridad. Ya no podemos confiar en las fuerzas del mercado o en medidas voluntarias para mejorar la ciberseguridad de nuestras instituciones públicas y privadas. En la actualidad, «primero en llegar al mercado» triunfa sobre «seguro en el mercado». Las fuerzas del mercado dan prioridad a los beneficios sobre la seguridad y permiten las vulnerabilidades que nuestros enemigos aprovechan con facilidad. Esta estructura no es aceptable y debe cambiar. Debemos crear estándares que den prioridad a la seguridad en el mercado. En consonancia con una campaña eficaz de educación y concienciación, los estándares de seguridad del mercado servirán para que los consumidores den prioridad también a la seguridad.
Establecer estándares mediante la colaboración del gobierno y el sector es fundamental para proteger las cadenas de suministro. Hemos establecido con éxito regulaciones que mejoran la seguridad de nuestras carreteras, atención sanitaria y sistemas financieros. Debemos establecer unos estándares mínimos de ciberseguridad.
No existe una solución única que valga para todos para preparar a las organizaciones para que estén listas para la cibernética. El número de empleados, el sector, los conocimientos técnicos y las capacidades financieras son solo algunos de los factores que varían en función de cada empresa. Pero el gobierno y el sector pueden trabajar conjuntamente para establecer normas, centradas en un método de gestión de riesgos, que tengan en cuenta esos factores.
#5: Lanzamiento de los escuadrones cibernéticos nacionales. Ya existe un programa del gobierno financiado mediante becas concedidas por la Fundación Nacional de Ciencias, CyberCorps: Scholarship for Service. No obstante, ese programa está diseñado para contratar y formar a los profesionales informáticos y directores de ciberseguridad para cargos en agencias federales, estatales y locales. Un nuevo programa de «escuadrones cibernéticos» aumentaría el flujo de talento disponible para las PYMES y también facilitaría la participación de diferentes disciplinas y experiencia en la creación de culturas de preparación cibernética entre las PYMES.
Los escuadrones cibernéticos pueden abordar varios problemas que dificultan los esfuerzos de las pymes a la hora de estar preparadas para la cibernética, incluida la escasez de talento y la falta de recursos financieros. Un programa de «escuadrones cibernéticos», inspirado en el Cuerpo de Paz, o una campaña similar a la iniciativa educativa de Ciencia, Tecnología, Ingeniería y Matemáticas (S.T.E.M.) permitirá a los estudiantes tener interés en emprender la ciberseguridad como una carrera profesional además de ofrecer una conexión con sus comunidades locales.
En cooperación con los colegios comunitarios y universidades, los estudiantes en prácticas con experiencia en varias disciplinas recibirían formación adicional sobre el papel que desempeña el comportamiento humano para lograr que las PYMES sean seguras, temas como la administración de contraseñas, la actualización del software y la concienciación sobre el phishing, que no se tratan en muchos programas de ciberseguridad. Se enviarían «escuadrones cibernéticos» a la comunidad para ayudar a las pymes locales a mejorar su preparación cibernética. Al principio, el programa se centraría en ayudar a las empresas propiedad de minorías con fondos insuficientes.
CONCLUSIÓN
Estas recomendaciones y medidas subrayan la necesidad de una colaboración pública/privada urgente para abordar las graves vulnerabilidades que ponen en riesgo nuestra seguridad nacional y bienestar económico.
Los eventos cibernéticos del año pasado demuestran cómo nuestros enemigos cibernéticos son cada vez más sofisticados a la hora de identificar y explotar nuestras vulnerabilidades y debilidades.
Debemos reforzar nuestras capacidades de defensa cibernética además de seguir invirtiendo en nuestra ofensiva. Las PYMES necesitan acceso a recursos de ciberseguridad que sean prescriptivos y accesibles. Los recursos, herramientas y técnicas para las pymes requieren un método diferente del que necesitan las grandes empresas. El objetivo es el mismo, crear una empresa protegida y sana, pero el camino para conseguirlo es diferente. No podemos limitarnos a reducir las herramientas y técnicas empleadas por las grandes corporaciones a versiones más compactas para las pymes. Debemos ser proactivos a la hora de apoyar a las PYMES para que se conviertan en una fortaleza de nuestro ecosistema, no en una debilidad. Deben volverse más resilientes y estar preparadas cibernéticamente para garantizar que nuestra nación tenga una base sólida y una cultura de seguridad.
