Amy Larsen DeCarlo – Analista Principal, Servicios de Centro de Datos y Seguridad Viñetas resumidas: • En un informe al Congreso, la Oficina de Responsabilidad Gubernamental (GAO) dijo que el entorno de amenazas cibernéticas está planteando desafíos a las entidades del sector público y privado por igual que ponen en riesgo la seguridad nacional, la en riesgo la economía, el medio ambiente y la seguridad humana. Como evidencia, la GAO citó el hecho de que las agencias federales informaron 30,659 incidentes de ciberseguridad al Equipo de Preparación para Emergencias Informáticas de EE. UU. del Departamento de Seguridad Nacional en 2022. • El informe instó a las agencias gubernamentales a trabajar en conjunto con el sector privado para protegerse de las amenazas. Un informe de la GAO al Congreso señaló los riesgos graves, y en muchos casos no abordados, que podrían poner en peligro la seguridad nacional. Desde 2010, la agencia ha recomendado a otras agencias 1.610 medidas para cerrar las brechas de seguridad. El informe actual sobre riesgos cibernéticos señaló que no se ha actuado sobre casi 600 de ellos, lo que pone en riesgo la seguridad de los sistemas federales y la infraestructura crítica. La GAO culpó a una combinación de prioridades presupuestarias en competencia, fallas de comunicación y la incapacidad de algunas agencias para medir con precisión los resultados. A través de la Oficina del Director Cibernético Nacional, la Casa Blanca ha ofrecido orientación tanto a agencias como a entidades no gubernamentales sobre cómo construir una estrategia de ciberseguridad eficaz y cómo ejecutar ese plan. Por ejemplo, en marzo la Casa Blanca envió una carta a los 50 gobiernos estatales señalando amenazas específicas a la infraestructura de agua potable y residuos por parte de dos actores de amenazas afiliados a estados-nación. La carta incluía enlaces a recursos de la Agencia de Protección Ambiental y de la Agencia de Infraestructura y Ciberseguridad (CISA) específicamente dirigidos a los sistemas de agua. Estos activos incluyen capacitación, ayuda consultiva, herramientas y soporte técnico, comenzando con las prácticas de seguridad más básicas. Las agencias describen la capacitación y los controles fundamentales, incluida la capacitación del personal para reconocer y esquivar esquemas de phishing, el uso de contraseñas seguras, la autenticación multifactor y garantizar que el software esté actualizado. La GAO dijo que el gobierno federal necesita hacer más para orientar a las agencias en la dirección correcta con respecto a áreas críticas como asegurar las cadenas de suministro globales, mantener un personal experto en ciberseguridad y ser consciente de los riesgos potenciales relacionados con tecnologías en evolución como la inteligencia artificial (IA). ). En un informe de 2023, la GAO descubrió que el Departamento de Defensa había abordado algunos elementos para reducir los riesgos de la cadena de suministro, pero no había implementado algunos controles sugeridos. En un informe gubernamental sobre IA, la GAO señaló que 20 agencias federales tienen 1200 casos de uso de IA actuales y planificados. La GAO describió 35 pautas para protegerlos, pero hasta ahora no se ha aplicado ninguna. Si bien la GAO señaló que los avances en tecnologías como la IA son prometedores en una variedad de industrias, también abren la puerta a nuevos riesgos. La GAO instó a las agencias a tener cuidado al evaluar cualquier tecnología recientemente introducida y asegurarse de que cuentan con los controles adecuados para minimizar el riesgo. Implementar todas las recomendaciones de la GAO es esencial para proteger todos los sistemas, datos y personal federales.