Gobernanza y gestión de riesgos, Gobierno, Administración específica de la industria continúa trasladando las responsabilidades de seguridad del software a los desarrolladores Chris Riotta (@chrisriotta) • 12 de julio de 2024 Imagen: Shutterstock La Casa Blanca ha delineado sus prioridades estratégicas para futuras inversiones en ciberseguridad entre agencias, enfatizando cinco áreas clave: defender la infraestructura crítica, desmantelar los actores de amenazas, dar forma a las fuerzas del mercado, invertir en resiliencia y forjar asociaciones internacionales. Ver también: Asegurar la atención médica: minimizar el riesgo en un panorama de amenazas en constante cambio El memorando de la Oficina de Administración y Presupuesto emitido el miércoles describe las prioridades de ciberseguridad del año fiscal 2026 de la administración y refleja en gran medida los pilares incluidos en la estrategia nacional de ciberseguridad (ver: La Casa Blanca presenta la Estrategia Nacional de Ciberseguridad de Biden. La OMB dijo que revisará conjuntamente las solicitudes de presupuesto de la agencia para identificar posibles brechas en las inversiones cibernéticas y garantizar que los departamentos incorporen estrategias de medición del desempeño en sus propuestas de financiamiento. La estrategia nacional de ciberseguridad emitida el año pasado requiere que las organizaciones en sectores de infraestructura crítica cumplan con ciertos requisitos cibernéticos básicos y exige un cambio en la mayor parte de las responsabilidades de seguridad de los usuarios finales a los desarrolladores de software. Según el nuevo memorando, las agencias tienen cuatro meses para proporcionar a la OMB y a la Oficina del Director Nacional de Ciberseguridad planes de implementación de confianza cero actualizados que documenten los niveles de madurez actuales y objetivo para todos los sistemas de información federales. La directora de la OMB, Shalanda Young, y el director de la ONCD, Harry Coker, dijeron en el memorando conjunto que las agencias deben priorizar la «modernización tecnológica de los sistemas federales que no pueden implementar controles de seguridad modernos», como el cifrado y la autenticación multifactor. Las agencias federales también deben priorizar las soluciones empresariales departamentales que “garanticen la coherencia en las áreas de misión” y “hagan posible el intercambio de información”. El memorando alienta a las agencias federales a “consultar con las entidades reguladas para establecer requisitos básicos de ciberseguridad que se puedan aplicar en infraestructuras críticas”, manteniendo al mismo tiempo la agilidad y la adaptabilidad para madurar con el cambiante panorama de las ciberamenazas. La ONCD y la OMB también instaron a las agencias y departamentos federales a estudiar las iniciativas de software de código abierto y los beneficios que se pueden obtener al establecer una función de gobernanza para proyectos de código abierto siguiendo el modelo del sector privado. Las propuestas presupuestarias deben identificar los departamentos y funciones existentes diseñados para investigar, interrumpir y desmantelar los delitos cibernéticos, según el memorando, incluidos los grupos de trabajo interinstitucionales centrados en combatir la infraestructura de ransomware y el abuso de la moneda virtual. Mientras tanto, la administración sigue presionando para que las agencias solo utilicen software proporcionado por desarrolladores que puedan dar fe de su cumplimiento con las prácticas mínimas de desarrollo de software seguro. La estrategia cibernética nacional, así como el memorando conjunto, ordena a las agencias que “utilicen subvenciones, préstamos y otros mecanismos de financiación del gobierno federal para garantizar que se incorporen requisitos mínimos de seguridad y resiliencia” en los proyectos de infraestructura crítica. Las agencias también tienen la tarea de refinar las estimaciones de costos presentadas previamente relacionadas con la investigación en ciencias de la información cuántica y abordar las amenazas potenciales que las computadoras cuánticas podrían representar para los datos y sistemas encriptados federales. Coker dijo en febrero que la Casa Blanca estaba explorando posibles «regímenes de responsabilidad» para obligar a los desarrolladores de software comercial a adoptar prácticas de codificación seguras, instando al Congreso a aprobar una legislación que impida que la industria renuncie a toda responsabilidad por los ciberataques y mitigue las vulnerabilidades críticas. «Todo software va a tener algún nivel de vulnerabilidades», dijo anteriormente Chris Wysopal, cofundador y director de tecnología de Veracode, a Information Security Media Group sobre los esfuerzos de seguridad de la cadena de suministro de software de la administración. «Dicho esto, sabemos cómo hacer software que tenga significativamente menos vulnerabilidades siguiendo procesos de desarrollo seguros probados» (ver: La Casa Blanca apunta a la rendición de cuentas de los proveedores de software). La OMB generalmente establece una fecha límite en septiembre, 13 meses antes del inicio del próximo año fiscal, para que las agencias federales presenten propuestas presupuestarias para su revisión. URL de la publicación original: https://www.databreachtoday.com/white-house-calls-for-defending-critical-infrastructure-a-25757