Cambio de responsabilidad para la seguridad de la infraestructura crítica

Precisamente quién es responsable de asegurar la infraestructura crítica está a punto de cambiar tras la firma de una orden ejecutiva por el presidente Trump.

La orden instruye al Asistente del Presidente para Asuntos de Seguridad Nacional (APNSA), un cargo que ahora ocupa Michael Waltz, a revisar cómo trasladar más responsabilidad para asegurar la infraestructura crítica a los gobiernos estatales y locales como parte de una Estrategia Nacional de Resiliencia formal que se definirá dentro de los 90 días posteriores a la firma de la orden ejecutiva el 19 de marzo.

Dentro de los 180 días posteriores a la firma de la orden, se instruye al APNSA, en coordinación con el Director de la Oficina de Política de Ciencia y Tecnología y otros jefes de agencias relevantes, a revisar todas las políticas de infraestructura crítica y recomendar cualquier revisión, rescisión y reemplazo necesario para lograr una postura más resiliente. En el núcleo de esa transición hay un cambio hacia un enfoque más "informado por el riesgo" frente a lo que el presidente ha descrito como el enfoque actual de "todos los peligros". Específicamente, la orden excluye cualquier política actual relacionada con la supuesta "información errónea", "desinformación" o "información malintencionada" o la llamada "infraestructura cognitiva". Esa última frase incluye la inteligencia artificial (IA) en consonancia con órdenes anteriores para acelerar la adopción de estas tecnologías mediante la reducción de regulaciones.

Dentro de los 240 días a partir de la fecha de la orden ejecutiva, se instruye al APNSA, en coordinación con los jefes de las agencias pertinentes, que revisen todas las políticas nacionales de preparación y respuesta y recomienden las revisiones, rescisiones y reemplazos necesarios para reformular el proceso y las métricas de responsabilidad federal como parte del esfuerzo por alejarse del enfoque actual de todos los peligros.

Finalmente, dentro de los 240 días posteriores a la firma de la orden ejecutiva, se instruye al APNSA, en coordinación con el Director de la Oficina de Gestión y Presupuesto y los jefes de las agencias relevantes, a coordinar el desarrollo de un Registro Nacional de Riesgos para identificar, articular y cuantificar los riesgos para la infraestructura nacional de EE.UU., los sistemas relacionados y sus usuarios.

De hecho, la administración de Trump ha decidido, al igual que ya lo han hecho muchas organizaciones, priorizar algunos riesgos de ciberseguridad sobre otros. Por supuesto, todavía hay mucho debate vigoroso no solo sobre qué constituye una amenaza para la infraestructura crítica, sino también sobre qué infraestructura podría realmente calificar para ser considerada crítica. Lo único que es seguro es que una gran cantidad de cambios está a punto de implementarse en un período de tiempo relativamente corto. La probabilidad de que los adversarios durante ese tiempo lancen ciberataques diseñados para, por ejemplo, paralizar la infraestructura crítica ubicada en ciudades y pueblos que tienen recursos financieros limitados nunca ha sido mayor.

Las organizaciones, por lo tanto, deben planificar en consecuencia. Si bien un ciberataque podría lanzarse directamente contra una organización, el llamado radio de explosión de un ciberataque dirigido, por ejemplo, a líneas eléctricas, sistemas de agua o un gasoducto podría impactar a todos en una región durante semanas. Por lo tanto, se aconseja a las organizaciones de todos los tamaños que revisen sus planes de recuperación ante desastres en consecuencia. Después de todo, dado lo dependientes que son las organizaciones de una gran variedad de sistemas interconectados, la mayoría de los manuales que las organizaciones pueden haber creado anteriormente nunca fueron diseñados para hacer frente a un ciberataque contra infraestructura crítica que la mayoría de los gobiernos locales nunca podrían estar realmente preparados para manejar.