CISA busca expandir su misión en medio de la agitación

La agitación en torno a la Cybersecurity and Infrastructure Security Agency (CISA) está comenzando a tener un impacto significativo en los equipos de ciberseguridad que, sin ninguna protección de responsabilidad, están, por ahora, menos inclinados a compartir información sobre cómo ocurrieron las brechas.

Al mismo tiempo, sin embargo, la agencia también está señalando su intención de proporcionar una amplia gama de servicios directamente a largo plazo, en lugar de seguir dependiendo de un pequeño número de socios de la industria.

Justo antes del cierre del gobierno federal, el Congreso de EE. UU. no logró renovar la Ley de Intercambio de Información sobre Ciberseguridad, principalmente debido a las objeciones del senador Rand Paul (R-KY), quien está preocupado de que la legislación original permita a la agencia exceder su misión al involucrarse en campañas de desinformación en las dos últimas elecciones presidenciales. En el centro de ese debate están las preocupaciones de que, en sus esfuerzos por proteger la infraestructura electoral crítica, CISA se viera envuelta en un debate político sobre las limitaciones percibidas impuestas a la libertad de expresión.

Unos días después, el gobierno de EE. UU. cierre, lo que ha resultado en despidos que podrían tener un impacto significativo en la capacidad de la agencia para proporcionar ciertos servicios, incluidos los servicios que CISA ofrece a organizaciones de terceros. Antes de esos recortes, CISA también permitió la expiración de un acuerdo de cooperación con el Centro para la Seguridad en Internet (CIS) a través del cual se ha gestionado un programa del Centro de Intercambio y Análisis de Información Multiestatal (MS-ISAC). Ahora CISA planea administrar la financiación para iniciativas específicas por sí misma, además de proporcionar herramientas que desarrolla a estados y localidades individuales sin coste.

Cambiando el enfoque

Todos estos cambios están ocurriendo en un momento en que CISA también está señalando su intención de renovar el programa de Vulnerabilidades y Exposiciones Comunes (CVE) actualmente administrado por Mitre Corp. Un documento CISA Strategic Focus publicado por CISA indica que la agencia está revisando cómo se numeran y clasifican las CVE, junto con cómo se distribuye la información sobre ellas, como parte de un nuevo enfoque en la calidad.

Específicamente, el documento exige un compromiso con la administración libre de conflictos y neutral hacia los proveedores, un amplio compromiso multisectorial, procesos transparentes y más responsabilidad. Este último tema es, por supuesto, un asunto de gran interés entre los profesionales de la ciberseguridad que se encuentran regularmente esperando que los desarrolladores construyan y apliquen parches a las aplicaciones. La esperanza es que si se responsabiliza más a las organizaciones por proporcionar software con vulnerabilidades conocidas que los ciberdelincuentes explotan, podría haber muchas menos.

Podría pasar un tiempo antes de que se realicen cambios concretos, pero es evidente que el alcance de la misión de CISA está cambiando. Los recursos se están desviando claramente de algunas iniciativas en línea con las prioridades establecidas por la administración Trump. Es menos evidente hasta qué punto CISA cuenta con los recursos necesarios para cumplir con su mandato emergente, que incluye proporcionar directamente una gama más amplia de servicios.

Con suerte, CISA volverá a convertirse en el centro de intercambio seguro de información sobre amenazas mientras amplía simultáneamente el alcance de los servicios que ofrece. El desafío, como siempre, es lograr ese mandato de una manera que invite la menor cantidad de interferencia política posible.