Kiersten Todt, directora ejecutiva del Cyber Readiness Institute, fue coautora recientemente de un artículo de opinión presentado en The Hill que se centra en las prioridades de ciberseguridad para el Congreso.
Cuatro prioridades de ciberseguridad para que el Congreso se enfrente a amenazas activas
El 116º Congreso puede tener dificultades para encontrar puntos en común en la mayoría de los temas. Pero existe al menos un área que presenta una oportunidad de acción bipartidista: la ciberseguridad.
Las ciberamenazas no distinguen entre afiliaciones a un partido.
Existen cuatro aspectos clave dentro de la ciberseguridadcon los que este Congreso tiene el potencial de avanzar, a través de una legislación que marque una diferencia y que haga que todos los estadounidenses, y nuestra democracia, estén más seguros.
Seguridad electoral: El Departamento de Seguridad Nacional ha progresado en gran medida en cuanto a seguridad electoral en los últimos 18 meses. Pero, con 10 000 jurisdicciones locales responsables no solo de administrar las elecciones, sino de proteger también nuestra democracia contra los agentes que amenazan al Estado-nación, se deben adoptar más medidas.
La respuesta no está solo en la financiación. Las papeletas electorales junto con las auditorías para limitar riesgos son fundamentales y el Congreso debería examinar detenidamente a los proveedores que desempeñan una función enorme en nuestra democracia. También debemos compartir experiencia y formación entre jurisdicciones y asegurarnos de que las jurisdicciones estén preparadas para recuperarse ante un ciberataque. Las disposiciones de seguridad electoral en el primer proyecto de ley de los demócratas de la Cámara son un excelente comienzo y no deben caer en el rencor partidista.
Privacidad y seguridad de los datos: Las vulneraciones de datos no deberían ser la nueva normalidad. Sin embargo, incluso después del peligro que corrieron 3000 millones de direcciones de correo electrónico de Yahoo, los perfiles crediticios de 150 millones de estadounidenses en Equifax y los datos personales de hasta 500 millones de huéspedes de Marriott, el Gobierno de Estados Unidos aún no ha tomado ninguna medida. El Congreso puede hacerlo ahora legislando políticas que ayuden a que la seguridad no sea un asunto cuya responsabilidad recaiga en el usuario final.
El Congreso debe incentivar a las empresas para que incorporen protocolos de seguridad y privacidad en el diseño de productos y servicios. Las personas individuales también deben ser responsables y hacer de la seguridad un componente en sus opciones de consumo. Este enfoque integrado que consiste en que la seguridad no sea responsabilidad exclusiva del usuario y en crear una cultura en la que las personas asuman la responsabilidad de su seguridad, garantizará una nación más resiliente.
Protección de infraestructuras: Estados Unidos debe proteger frente a las ciberamenazas su infraestructura crítica, incluido el sistema electoral, la energía, el transporte y las finanzas. La reciente creación de la Agencia de Seguridad de Infraestructura y Ciberseguridad dentro del Departamento de Seguridad Nacional es un paso necesario para hacerlo. Pero se necesita más.
El Congreso debe impulsar una mejor comprensión de las interdependencias de nuestra infraestructura crítica, así como realizar evaluaciones rápidas basadas en los entornos de amenazas actuales y futuros. En los últimos años, ha surgido un nuevo sector crítico, pero nuestro Gobierno no se está organizando para responder a él. Las redes sociales ahora afectan directamente a la seguridad nacional y económica de nuestra nación. El Congreso debe trabajar con el poder ejecutivo y la industria para identificar qué medidas apropiadas deben adoptarse para abordarlo.
Desarrollo de la población activa: Cualquier estrategia de ciberseguridad eficaz requerirá el personal idóneo para que realice el trabajo. En la actualidad, no se dispone de estos trabajadores. Existe una peligrosa escasez de personas para implementar lo que se debe hacer para que Estados Unidos esté seguro en la era digital. En este momento, se calcula que hay 300 000 puestos de trabajo de ciberseguridad sin cubrir en este país, desde altos directivos y técnicos hasta todo tipo de personal de apoyo. Es una cifra que no dejará de aumentar.
También debemos replantearnos quién es el responsable de la ciberseguridad y crear una cultura de ciberseguridad. Cada persona que use un teléfono o un ordenador portátil para realizar una función de su trabajo ahora es parte de la plantilla cibernética. Se necesita más educación y formación. El Congreso debería aprobar una legislación que dé prioridad e incentive la formación cibernética en todo el sistema escolar público, así como en toda la población activa.
Existen otras prioridades de ciberseguridad que el Congreso debe abordar, sobre todo proteger la cadena de suministro de defensa y regular el inseguro auge del Internet de las Cosas. Hay un camino razonable con el que avanzar en estos asuntos, gracias al trabajo preliminar establecido en el 115º Congreso.
Tal y como reconocen cada vez más los estadounidenses, la ciberseguridad es fundamental para la seguridad nacional y económica de nuestra nación. La legislación del Congreso que se centra en la seguridad electoral, la privacidad y seguridad de los datos, la protección de infraestructuras críticas y el desarrollo de la población activa es un paso importante y necesario para ayudar a nuestra nación a hacer frente a estas amenazas activas.
David Hickton es el director fundador del Institute for Cyber Law, Policy and Security de la Universidad de Pittsburgh y anteriormente fue fiscal del Distrito Occidental de Pensilvania.
Kiersten Todt es una académica residente de esta institución y fue directora ejecutiva de la Comisión de Mejora de la Ciberseguridad Nacional bipartidista de la administración Obama.
Para obtener más información sobre el Cyber Readiness Institute, mande un mensaje a info@cyberreadinessinstitute.org
