La responsabilidad de la seguridad de la infraestructura crítica cambia

Precisamente quién es responsable de asegurar la infraestructura crítica está a punto de cambiar tras la firma de una orden ejecutiva por parte del Presidente Trump.

La orden instruye al Asistente del Presidente para Asuntos de Seguridad Nacional (APNSA), un cargo que ahora ocupa Michael Waltz, a revisar cómo trasladar más responsabilidad para asegurar la infraestructura crítica a los gobiernos estatales y locales como parte de una Estrategia Nacional de Resiliencia formal que se definirá dentro de los 90 días posteriores a la firma de la orden ejecutiva el 19 de marzo.

Dentro de los 180 días posteriores a la firma de la orden, el APNSA, en coordinación con el Director de la Oficina de Política de Ciencia y Tecnología y otros jefes de agencias relevantes, también está dirigido a revisar todas las políticas de infraestructura crítica y recomendar cualquier revisión, rescisión y reemplazo necesarios para lograr una postura más resiliente. En el núcleo de esa transición está un cambio hacia un enfoque más "informado por el riesgo" en lugar de lo que el presidente describió como el enfoque actual de "todos los peligros". Específicamente, la orden excluye cualquier política actual relacionada con la supuesta "desinformación", "información errónea" o "información malintencionada" o la llamada "infraestructura cognitiva". Esta última frase incluye la inteligencia artificial (IA) en consonancia con órdenes anteriores para acelerar la adopción de estas tecnologías reduciendo regulaciones.

Dentro de los 240 días a partir de la fecha de la orden ejecutiva, el APNSA, en coordinación con los jefes de agencias relevantes, también está dirigido a revisar todas las políticas nacionales de preparación y respuesta y recomendar las revisiones, rescisiones y reemplazos necesarios para reformular el proceso y las métricas de responsabilidad federal como parte del esfuerzo por alejarse del enfoque actual de todos los peligros.

Finalmente, dentro de los 240 días posteriores a la firma de la orden ejecutiva, el APNSA, en coordinación con el Director de la Oficina de Gestión y Presupuesto y los jefes de agencias relevantes, está dirigido a coordinar el desarrollo de un Registro Nacional de Riesgos para identificar, articular y cuantificar los riesgos para la infraestructura nacional de EE. UU., los sistemas relacionados y sus usuarios.

En efecto, la administración Trump ha decidido, al igual que muchas organizaciones ya lo han hecho, priorizar algunos riesgos de ciberseguridad sobre otros. Por supuesto, todavía hay mucho debate vigoroso sobre no solo qué constituye una amenaza para la infraestructura crítica, sino también qué infraestructura podría realmente calificar para ser considerada crítica. Lo único que es seguro es que una gran cantidad de cambios está a punto de implementarse en un período de tiempo relativamente corto. La probabilidad de que los adversarios durante ese tiempo lancen ciberataques diseñados para, por ejemplo, paralizar la infraestructura crítica ubicada en ciudades y pueblos que tienen recursos financieros limitados nunca ha sido mayor.

Por lo tanto, las organizaciones deben planificar en consecuencia. Si bien un ciberataque podría lanzarse directamente a una organización, el llamado radio de explosión de un ciberataque dirigido, por ejemplo, a líneas eléctricas, sistemas de agua o un gasoducto podría afectar a todos en una región durante semanas. Por lo tanto, se aconseja a las organizaciones de todos los tamaños que revisen sus planes de recuperación ante desastres en consecuencia. Después de todo, dado lo dependientes que son las organizaciones de una amplia gama de sistemas interconectados, la mayoría de los manuales que las organizaciones pueden haber creado anteriormente nunca fueron diseñados para hacer frente a un ciberataque contra infraestructura crítica que la mayoría de los gobiernos locales pueden nunca estar realmente preparados para manejar.