Legislación crearía nuevas regulaciones de ciberseguridad

Dos senadores estadounidenses presentaron legislación que revisaría los esfuerzos de seguridad cibernética del país y, según los informes, permitirán que el gobierno regule por primera vez algunos esfuerzos de ciberseguridad de empresas privadas.

El senador Jay Rockefeller, demócrata de Virginia Occidental y la senadora Olympia Snowe, republicana de Maine, presentaron la legislación el miércoles pero algunos los detalles no estuvieron disponibles de inmediato. Previamente el miércoles, el Washington Post informó que la legislación incluirá nuevos mandatos en redes gubernamentales y en redes privadas que controlan redes eléctricas, distribución de agua y otros servicios esenciales.

Una portavoz del Comité Senatorial de Comercio, Ciencia y Transporte, de la cual Rockefeller es presidente, dijo el miércoles que tenía pocos detalles sobre el proyecto de ley el miércoles por la tarde. El proyecto de ley establecería un nuevo asesor nacional de ciberseguridad en la oficina ejecutiva del presidente Barack Obama, y ​​"reharía la relación entre el gobierno y el sector privado sobre seguridad cibernética", dijo un comunicado de prensa del comité.

[Lectura adicional: cómo para eliminar el malware de su PC con Windows]

"Debemos proteger nuestra infraestructura crítica a toda costa, desde el agua hasta la electricidad, la banca, los semáforos y los registros electrónicos de salud, la lista continúa", dijo Rockefeller en una declaración. "Es un eufemismo decir que la ciberseguridad es uno de los problemas más importantes que enfrentamos, la naturaleza cada vez más conectada de nuestras vidas solo amplifica nuestra vulnerabilidad a los ciberataques y debemos actuar ahora".

Rockefeller dijo durante una audiencia el 19 de marzo él y Snowe estaban trabajando en un proyecto de ley, con parte del objetivo de alentar a más estudiantes de Estados Unidos a estudiar seguridad cibernética. Pero también se quejó de que pocos residentes de los EE. UU. Prestaban atención a los problemas de seguridad cibernética del país.

"Considero [la ciberseguridad] un problema profundo y profundo al que no prestamos mucha atención", dijo entonces. "El problema es que Estados Unidos está inaceptablemente expuesto a un cibercrimen masivo".

Llamó entonces a los líderes del gobierno y al sector privado para trabajar juntos en ciberseguridad. "Necesitamos una respuesta pública y privada coordinada, y actualmente, no existe", dijo Rockefeller.

Rockefeller y otros legisladores han expresado recientemente su preocupación de que los ciberterroristas puedan atacar y derribar la infraestructura de los EE. UU., Incluidos los bancos, el control del tráfico aéreo, control ferroviario y telecomunicaciones. La legislación que ha introducido sigue las directrices establecidas en un informe de diciembre de una comisión de expertos en ciberseguridad organizada por el Centro de Estudios Estratégicos e Internacionales (CSIS), un grupo de expertos de Washington, DC, según el comunicado de prensa del comité de comercio.

Pero algunos expertos en ciberseguridad han cuestionado si las nuevas regulaciones para el sector privado mejorarían la seguridad. "La seguridad es una actitud y es difícil legislar una actitud", dijo Brian Chess, fundador y científico jefe de Fortify Software, un proveedor de ciberseguridad. "Tiene más que ver con la comprensión del impacto del software inseguro en la organización. Las empresas líderes en esta área lo están haciendo como parte de un esfuerzo de cumplimiento, pero reconocen que es más barato implementar seguridad preventiva".

Anterior esta semana, Fortify lanzó un libro blanco centrado en la construcción de seguridad en el software del gobierno. Ese informe analiza las mejores prácticas de las organizaciones que han tenido buenos registros de ciberseguridad y recomienda que las organizaciones gubernamentales necesiten líderes fuertes, sólida experiencia en ciberseguridad y un enfoque en los estándares de seguridad preventiva.

Además, las organizaciones gubernamentales deben impulsar la seguridad en sus procesos de adquisición y su enfoque en arreglar o reemplazar su software heredado, dice el informe.

"El problema es que debemos atribuir un nuevo sentido de urgencia a [la ciberseguridad]", dijo Howard Schmidt, presidente y director ejecutivo del Foro de Seguridad de la Información y asesor del grupo de seguridad cibernética CSIS y de Fortify. "Pasamos por este ciclo constante de golpearnos a nosotros mismos, golpeándonos a nosotros mismos, en lugar de hacerlo bien desde el principio".

Schmidt, un ex consejero de seguridad cibernética de eBay, Microsoft y la Casa Blanca, llamado Federal Information Security Management Act (FISMA) de 2003, una ley que somete a las agencias federales a revisiones anuales de seguridad cibernética, un "ejercicio de papeleo" en gran parte sin éxito. FISMA califica a las agencias federales en varias áreas de seguridad.

En lugar de marcar las casillas que forman parte de las regulaciones, las agencias federales podrían estar trabajando en medidas preventivas de ciberseguridad, dijo.

"En cierto sentido, es bueno saber la casa está en llamas ", agregó Ajedrez. "Pero detengamos lo que está causando el incendio".