Trabajando junto con el Congreso, dimos otro paso adelante en este esfuerzo en diciembre con la aprobación de la Ley de Ciberseguridad de 2015, que proporciona herramientas importantes necesarias para fortalecer la ciberseguridad de la Nación, en particular al facilitar que las empresas privadas compartan entre sí y con el Gobierno información sobre amenazas cibernéticas.

Pero el Presidente cree que se debe hacer más – para que los ciudadanos tengan las herramientas que necesitan para protegerse, las empresas puedan defender sus operaciones y su información, y el Gobierno haga su parte para proteger al pueblo estadounidense y la información que nos confían. Por eso, hoy el Presidente está instruyendo a su Administración a implementar un Plan Nacional de Acción de Ciberseguridad (CNAP) que adopta medidas a corto plazo y establece una estrategia de largo plazo para mejorar la concientización y las protecciones en ciberseguridad, proteger la privacidad, mantener la seguridad pública así como la seguridad económica y nacional, y empoderar a los estadounidenses para tener un mejor control de su seguridad digital.

El Desafío

Desde comprar productos hasta administrar negocios, encontrar direcciones o comunicarnos con las personas que amamos, el mundo en línea ha transformado fundamentalmente nuestra vida diaria. Pero así como la era digital en constante evolución presenta oportunidades ilimitadas para nuestra economía, nuestras empresas y nuestra gente, también presenta una nueva generación de amenazas a las que debemos adaptarnos. Los delincuentes, terroristas y países que desean dañarnos han comprendido que atacarnos en línea suele ser más fácil que atacarnos en persona. A medida que cada vez más datos sensibles se almacenan en línea, las consecuencias de esos ataques crecen más significativas cada año. El robo de identidad es ahora el delito de más rápido crecimiento en Estados Unidos. Nuestros innovadores y emprendedores han reforzado nuestro liderazgo global y han hecho crecer nuestra economía, pero con cada nueva historia de una empresa de alto perfil hackeada o de un vecino estafado, más estadounidenses se preguntan si los beneficios de la tecnología podrían correr el riesgo de ser superados por sus costos.

El Presidente cree que hacer frente a estas nuevas amenazas es necesario y está a nuestro alcance. Pero requiere una reevaluación audaz de la forma en que abordamos la seguridad en la era digital. Si vamos a estar conectados, necesitamos estar protegidos. Necesitamos unirnos —Gobierno, empresas e individuos— para sostener el espíritu que siempre ha hecho grande a Estados Unidos.

Nuestro Enfoque

Por eso, hoy la Administración anuncia una serie de acciones a corto plazo para fortalecer las capacidades de ciberseguridad dentro del Gobierno Federal y en todo el país. Pero dada la complejidad y la gravedad del asunto, el Presidente también está pidiendo a algunos de los principales pensadores estratégicos, empresariales y técnicos de nuestra Nación, provenientes de fuera del Gobierno, que estudien e informen qué más podemos hacer para mejorar la concientización y las protecciones en ciberseguridad, proteger la privacidad, mantener la seguridad pública así como la seguridad económica y nacional, y empoderar a los estadounidenses para que tengan un mejor control de su seguridad digital. Se requiere una acción audaz para asegurar nuestra sociedad digital y mantener a Estados Unidos competitivo en la economía digital global.

El Plan Nacional de Acción de Ciberseguridad (CNAP) del Presidente es la culminación de más de siete años de esfuerzo decidido de esta Administración, basándose en las lecciones aprendidas de las tendencias, amenazas e intrusiones de ciberseguridad. Este plan ordena al Gobierno Federal actuar ahora y fomenta las condiciones necesarias para mejoras a largo plazo en nuestro enfoque hacia la ciberseguridad en todo el Gobierno Federal, el sector privado y nuestras vidas personales. Los aspectos destacados del CNAP incluyen acciones para:

• Establecer la “Comisión para Fortalecer la Ciberseguridad Nacional”. Esta Comisión estará integrada por destacados pensadores estratégicos, empresariales y técnicos de fuera del Gobierno, incluidos miembros que serán designados por el liderazgo bipartidista del Congreso. La Comisión formulará recomendaciones sobre acciones que se pueden tomar durante la próxima década para fortalecer la ciberseguridad tanto en el sector público como en el privado, protegiendo al mismo tiempo la privacidad; manteniendo la seguridad pública y la seguridad económica y nacional; fomentando el descubrimiento y desarrollo de nuevas soluciones técnicas; y fortaleciendo las alianzas entre los gobiernos federal, estatales y locales y el sector privado en el desarrollo, promoción y uso de tecnologías, políticas y mejores prácticas de ciberseguridad.

• Modernizar la TI del Gobierno y transformar la forma en que el Gobierno gestiona la ciberseguridad mediante la propuesta de un Fondo de Modernización de Tecnología de la Información de 3,100 millones de dólares, que permitirá retirar, reemplazar y modernizar la TI heredada que es difícil de proteger y costosa de mantener, así como la creación de un nuevo puesto —el Director Federal de Seguridad de la Información— para impulsar estos cambios en todo el Gobierno.

• Empoderar a los estadounidenses para asegurar sus cuentas en línea yendo más allá de solo contraseñas y agregando una capa adicional de seguridad. Al combinar de manera prudente una contraseña sólida con factores adicionales, como una huella digital o un código de un solo uso enviado por mensaje de texto, los estadounidenses pueden hacer que sus cuentas sean aún más seguras. Este enfoque en la autenticación multifactor será central para una nueva Campaña Nacional de Concientización sobre Ciberseguridad lanzada por la Alianza Nacional de Ciberseguridad, diseñada para brindar a los consumidores información simple y práctica para protegerse en un mundo cada vez más digital. La Alianza Nacional de Ciberseguridad se asociará con empresas tecnológicas líderes como Google, Facebook, DropBox y Microsoft para facilitar que millones de usuarios aseguren sus cuentas en línea, y con empresas de servicios financieros como MasterCard, Visa, PayPal y Venmo que están haciendo más seguras las transacciones. Además, el Gobierno Federal tomará medidas para salvaguardar los datos personales en las transacciones en línea entre los ciudadanos y el gobierno, incluso mediante un nuevo plan de acción para impulsar la adopción y el uso por parte del Gobierno Federal de métodos eficaces de verificación de identidad y autenticación multifactor sólida, así como una revisión sistemática de dónde el Gobierno Federal puede reducir la dependencia de los Números de Seguro Social como identificador de los ciudadanos.

• Invertir más de 19 mil millones de dólares en ciberseguridad como parte del Presupuesto del año fiscal (FY) 2017 del Presidente. Esto representa un aumento de más del 35 por ciento con respecto al FY 2016 en los recursos federales totales para ciberseguridad, una inversión necesaria para asegurar nuestra Nación en el futuro.

A través de estas acciones, de los pasos adicionales que se detallan a continuación y de otros esfuerzos de política pública distribuidos en todo el Gobierno Federal, la Administración ha trazado un rumbo para mejorar nuestra seguridad a largo plazo y reforzar el liderazgo estadounidense en el desarrollo de las tecnologías que impulsan el mundo digital.

Comisión para Fortalecer la Ciberseguridad Nacional

Durante más de cuatro décadas, la tecnología informática y el Internet han proporcionado una ventaja estratégica a Estados Unidos, a sus ciudadanos y a sus aliados. Pero si no se abordan los problemas fundamentales de ciberseguridad e identidad, la dependencia de Estados Unidos de la infraestructura digital corre el riesgo de convertirse en una fuente de vulnerabilidad estratégica. Para resolver estos problemas, debemos diagnosticar y abordar las causas de las ciber-vulnerabilidades, y no solo tratar los síntomas. Hacer frente a este desafío requerirá un compromiso nacional de largo plazo.

Para llevar a cabo esta revisión, el Presidente está creando la Comisión para Fortalecer la Ciberseguridad Nacional, integrada por destacados pensadores estratégicos, empresariales y técnicos de fuera del Gobierno, incluidos miembros que serán designados por el liderazgo bipartidista del Congreso. La Comisión tiene la tarea de formular recomendaciones detalladas sobre acciones que se pueden tomar durante la próxima década para mejorar la concientización y las protecciones en ciberseguridad en todo el sector privado y en todos los niveles de gobierno, proteger la privacidad, mantener la seguridad pública y la seguridad económica y nacional, y empoderar a los estadounidenses para que tengan un mejor control de su seguridad digital. El Instituto Nacional de Estándares y Tecnología brindará apoyo a la Comisión para que pueda cumplir su misión. La Comisión informará al Presidente con sus hallazgos y recomendaciones específicas antes de que termine 2016, proporcionando al país una hoja de ruta para acciones futuras que se basarán en el CNAP y protegerán nuestra seguridad a largo plazo en línea.

Elevar el Nivel de Ciberseguridad en Todo el País

Mientras la Comisión realiza esta revisión orientada al futuro, continuaremos elevando el nivel de ciberseguridad en toda la Nación.

Fortalecer la Ciberseguridad Federal

El Gobierno Federal ha logrado avances significativos en mejorar sus capacidades de ciberseguridad, pero aún queda más trabajo por hacer. Para ampliar ese progreso y abordar los desafíos sistémicos de larga data en la ciberseguridad federal, debemos reevaluar el enfoque heredado de nuestro Gobierno hacia la ciberseguridad y la tecnología de la información, que exige que cada agencia construya y defienda sus propias redes. Estas acciones se basan en la estructura establecida por los Objetivos Prioritarios de Ciberseguridad entre Agencias y el Plan de Estrategia e Implementación de Ciberseguridad 2015.

• El Presupuesto 2017 del Presidente propone un Fondo de Modernización de Tecnología de la Información de 3,100 millones de dólares, como un anticipo de la modernización integral que deberá emprenderse en los próximos años. Este fondo rotatorio permitirá a las agencias invertir dinero por adelantado y obtener el retorno con el tiempo al retirar, reemplazar o modernizar la infraestructura, las redes y los sistemas de TI obsoletos que son costosos de mantener, ofrecen una funcionalidad deficiente y son difíciles de proteger.

• La Administración ha creado el cargo de Director Federal de Seguridad de la Información para impulsar la política, la planificación y la implementación de ciberseguridad en todo el Gobierno Federal. Esta es la primera vez que habrá un funcionario de alto nivel dedicado exclusivamente a desarrollar, gestionar y coordinar la estrategia, la política y las operaciones de ciberseguridad en todo el ámbito federal.

• La Administración está exigiendo a las agencias identificar y priorizar sus activos de TI de mayor valor y más expuestos al riesgo, y luego tomar medidas concretas adicionales para mejorar su seguridad.

• El Departamento de Seguridad Nacional, la Administración de Servicios Generales y otras agencias federales aumentarán la disponibilidad de servicios compartidos de uso gubernamental para TI y ciberseguridad, con el objetivo de sacar a cada agencia individual del negocio de construir, poseer y operar su propia TI cuando existan opciones más eficientes, efectivas y seguras, así como garantizar que las agencias individuales no queden solas para defenderse de las amenazas más sofisticadas.

• El Departamento de Seguridad Nacional está fortaleciendo la ciberseguridad federal mediante la expansión de los programas EINSTEIN y Continuous Diagnostics and Mitigation. El Presupuesto 2017 del Presidente apoya que todas las agencias civiles federales adopten estas capacidades.

• El Departamento de Seguridad Nacional está aumentando drásticamente el número de equipos civiles federales de defensa cibernética a un total de 48, mediante el reclutamiento del mejor talento en ciberseguridad de todo el Gobierno Federal y el sector privado. Estos equipos permanentes protegerán redes, sistemas y datos en todo el Gobierno Civil Federal mediante pruebas de penetración y la búsqueda proactiva de intrusos, así como proporcionando respuesta a incidentes y experiencia en ingeniería de seguridad.

• El Gobierno Federal, a través de esfuerzos como la Iniciativa Nacional para la Educación en Ciberseguridad, mejorará la educación y la capacitación en ciberseguridad en todo el país y contratará a más expertos en ciberseguridad para asegurar las agencias federales. Como parte del CNAP, el Presupuesto del Presidente invierte 62 millones de dólares en personal de ciberseguridad para:

  • Expandir el programa Scholarship for Service mediante el establecimiento de un programa CyberCorps Reserve, que ofrecerá becas a estadounidenses que deseen obtener educación en ciberseguridad y servir a su país en el gobierno federal civil;

  • Desarrollar un plan de estudios básico de ciberseguridad que garantice que los graduados en ciberseguridad que deseen unirse al Gobierno Federal cuenten con los conocimientos y habilidades necesarios; y,

  • Fortalecer el Programa de Centros Nacionales de Excelencia Académica en Ciberseguridad para aumentar el número de instituciones académicas y estudiantes participantes, brindar mejor apoyo a las instituciones que ya participan, incrementar el número de estudiantes que estudian ciberseguridad en esas instituciones y mejorar el conocimiento de los estudiantes mediante la evolución del programa y del plan de estudios.

• El Presupuesto del Presidente toma medidas adicionales para ampliar la fuerza laboral en ciberseguridad mediante:

  • Mejorar los programas de condonación de préstamos estudiantiles para expertos en ciberseguridad que se incorporen a la fuerza laboral federal;

  • Impulsar la inversión en educación en ciberseguridad como parte de un sólido plan de estudios de ciencias de la computación a través de la Iniciativa de Ciencias de la Computación para Todos del Presidente.

Fortalecer a las Personas

La privacidad y la seguridad de todos los estadounidenses en línea en su vida diaria son cada vez más esenciales para nuestra seguridad nacional y nuestra economía. Las siguientes nuevas acciones se basan en la Iniciativa BuySecure de 2014 del Presidente para fortalecer la seguridad de los datos de los consumidores.

• El Presidente está haciendo un llamado a los estadounidenses para que vayan más allá de solo la contraseña y aprovechen múltiples factores de autenticación al iniciar sesión en cuentas en línea. Las empresas privadas, las organizaciones sin fines de lucro y el Gobierno Federal están trabajando juntas para ayudar a más estadounidenses a mantenerse seguros en línea mediante una nueva campaña de concientización pública que se centra en la adopción generalizada de la autenticación multifactor. Sobre la base de la campaña Stop.Think.Connect. y de los esfuerzos derivados de la Estrategia Nacional para Identidades Confiables en el Ciberespacio, la Alianza Nacional de Ciberseguridad se asociará con empresas tecnológicas líderes y con la sociedad civil para promover este esfuerzo y facilitar que millones de usuarios aseguren sus cuentas en línea. Esto apoyará un esfuerzo más amplio para aumentar la concientización pública sobre el papel del individuo en la ciberseguridad.

• El Gobierno Federal está acelerando la adopción de autenticación multifactor sólida y verificación de identidad para los servicios digitales del Gobierno Federal orientados a los ciudadanos. La Administración de Servicios Generales establecerá un nuevo programa que protegerá mejor los datos y la información personal de los estadounidenses cuando interactúen con los servicios del Gobierno Federal, incluidos los datos fiscales y la información sobre beneficios.

• La Administración está realizando una revisión sistemática de dónde el Gobierno Federal puede reducir el uso de los Números de Seguro Social como identificador de los ciudadanos.

• La Comisión Federal de Comercio relanzó recientemente IdentityTheft.Gov para servir como un recurso integral para que las víctimas reporten el robo de identidad, creen un plan personal de recuperación e impriman cartas y formularios previamente llenados para enviarlos a las agencias de crédito, empresas y cobradores de deudas.

• La Administración de Pequeñas Empresas (SBA), en asociación con la Comisión Federal de Comercio, el Instituto Nacional de Estándares y Tecnología (NIST) y el Departamento de Energía, ofrecerá capacitación en ciberseguridad para llegar a más de 1.4 millones de pequeñas empresas y actores clave de pequeñas empresas a través de 68 oficinas distritales de la SBA, 9 centros de la Manufacturing Extension Partnership del NIST y otras redes regionales en todo el país.

• La Administración está anunciando nuevos hitos en la Iniciativa BuySecure del Presidente para asegurar las transacciones financieras. Al día de hoy, el Gobierno Federal ha proporcionado más de 2.5 millones de tarjetas de pago Chip-and-PIN más seguras y ha migrado a esta nueva tecnología toda la flota de lectores de tarjetas administrada por el Departamento del Tesoro. Gracias al liderazgo del gobierno y del sector privado, en Estados Unidos se han emitido más tarjetas con chip más seguras que en cualquier otro país del mundo.

Mejorar la Seguridad y la Resiliencia de la Infraestructura Crítica

La seguridad nacional y económica de Estados Unidos depende del funcionamiento confiable de la infraestructura crítica de la Nación. Una asociación continua con los propietarios y operadores de infraestructura crítica mejorará la ciberseguridad y aumentará la resiliencia de la Nación. Este trabajo se basa en las anteriores Órdenes Ejecutivas del Presidente centradas en ciberseguridad sobre Infraestructura Crítica (2013) e Intercambio de Información (2015).

• El Departamento de Seguridad Nacional, el Departamento de Comercio y el Departamento de Energía están aportando recursos y capacidades para establecer un Centro Nacional para la Resiliencia en Ciberseguridad donde las empresas y las organizaciones de todo el sector puedan probar la seguridad de los sistemas en un entorno contenido, por ejemplo, sometiendo una réplica de la red eléctrica a un ciberataque.

• El Departamento de Seguridad Nacional duplicará el número de asesores en ciberseguridad disponibles para ayudar a las organizaciones del sector privado con evaluaciones de ciberseguridad presenciales y personalizadas, así como con la implementación de mejores prácticas.

• El Departamento de Seguridad Nacional está colaborando con UL y otros socios de la industria para desarrollar un Programa de Aseguramiento de la Ciberseguridad que pruebe y certifique dispositivos conectados dentro del “Internet de las cosas”, ya sean refrigeradores o bombas de infusión médica, para que cuando compre un producto nuevo pueda estar seguro de que ha sido certificado para cumplir con los estándares de seguridad.

• El Instituto Nacional de Estándares y Tecnología está solicitando comentarios para informar el desarrollo posterior de su Marco de Ciberseguridad para mejorar la ciberseguridad de la infraestructura crítica. Esto sigue a dos años de adopción por parte de organizaciones de todo el país y de todo el mundo.

• Ayer, la Secretaria de Comercio Pritzker inauguró el nuevo Centro Nacional de Excelencia en Ciberseguridad, una alianza público-privada de investigación y desarrollo que permitirá a la industria y al gobierno trabajar juntos para desarrollar e implementar soluciones técnicas para desafíos prioritarios de ciberseguridad y compartir esos hallazgos en beneficio de la comunidad en general.

• La Administración está haciendo un llamado a las principales aseguradoras de salud y a los actores clave del sector salud para que les ayuden a dar nuevos y significativos pasos para mejorar sus prácticas de administración de datos y garantizar que los consumidores puedan confiar en que sus datos sensibles de salud estarán seguros, protegidos y disponibles para orientar la toma de decisiones clínicas.

Tecnología Segura

Aunque trabajamos para mejorar nuestras defensas hoy, sabemos que la Nación debe invertir agresivamente en la ciencia, la tecnología, las herramientas y la infraestructura del futuro para garantizar que estén diseñadas pensando en la seguridad sostenible.

• Hoy la Administración publica su Plan Estratégico de Investigación y Desarrollo de Ciberseguridad Federal 2016. Este plan, que fue solicitado en la Ley de Mejora de la Ciberseguridad de 2014, establece objetivos estratégicos de investigación y desarrollo para que la Nación impulse tecnologías de ciberseguridad guiadas por evidencia científica de eficacia y eficiencia.

• Además, el Gobierno trabajará con organizaciones como la Core Infrastructure Initiative de la Linux Foundation para financiar y asegurar “servicios públicos” de Internet de uso común, como software de código abierto, protocolos y estándares. Así como nuestras carreteras y puentes necesitan reparación y mantenimiento regulares, también los enlaces técnicos que permiten que fluya la autopista de la información.

Disuadir, Desalentar y Desarticular la Actividad Maliciosa en el Ciberespacio

Asegurar mejor nuestra propia infraestructura digital es solo parte de la solución. Debemos liderar el esfuerzo internacional para adoptar principios de comportamiento responsable de los Estados, incluso mientras tomamos medidas para disuadir y desarticular la actividad maliciosa. No podemos perseguir estos objetivos solos: debemos perseguirlos en concierto con nuestros aliados y socios de todo el mundo.

• En 2015, los miembros del G20 se unieron a Estados Unidos para reafirmar normas importantes, incluida la aplicabilidad del derecho internacional al ciberespacio, la idea de que los Estados no deben llevar a cabo el robo de propiedad intelectual facilitado por el ciberespacio para obtener ganancias comerciales, y al dar la bienvenida al informe de un Grupo de Expertos Gubernamentales de las Naciones Unidas, que incluyó una serie de normas adicionales para promover la cooperación internacional, prevenir ataques contra infraestructura crítica civil y apoyar a los equipos de respuesta a emergencias informáticas que brindan servicios de restablecimiento y mitigación. La Administración pretende institucionalizar e implementar estas normas mediante compromisos bilaterales y multilaterales adicionales y medidas de fomento de la confianza.

• El Departamento de Justicia, incluida la Oficina Federal de Investigaciones, está aumentando en más del 23 por ciento el financiamiento para actividades relacionadas con la ciberseguridad para mejorar sus capacidades para identificar, desarticular y capturar a actores cibernéticos maliciosos.

• El Comando Cibernético de EE. UU. está construyendo una Fuerza de Misión Cibernética de 133 equipos integrada por 6,200 militares, civiles y personal de apoyo contratado de todos los departamentos militares y componentes de defensa. La Fuerza de Misión Cibernética, que estará plenamente operativa en 2018, ya está utilizando capacidades en apoyo de los objetivos del Gobierno de Estados Unidos en todo el espectro de las operaciones cibernéticas.

Mejorar la Respuesta a Incidentes Cibernéticos

Aunque nos centramos en prevenir y disuadir la actividad cibernética maliciosa, también debemos mantener la resiliencia a medida que ocurren los eventos. Durante el último año, el país enfrentó una amplia gama de intrusiones, desde actividad delictiva hasta espionaje cibernético. Al aplicar las lecciones aprendidas de incidentes pasados podemos mejorar la gestión de futuros incidentes cibernéticos y aumentar la ciberresiliencia del país.

• Para esta primavera, la Administración publicará de forma pública una política para la coordinación nacional de incidentes cibernéticos y una metodología de severidad complementaria para evaluar los incidentes cibernéticos, de modo que las agencias gubernamentales y el sector privado puedan comunicarse eficazmente y brindar un nivel de respuesta apropiado y coherente.

Proteger la Privacidad de las Personas

En coordinación con los esfuerzos de tecnología de la información y ciberseguridad descritos anteriormente, la Administración ha lanzado un esfuerzo innovador para mejorar la forma en que las agencias de todo el Gobierno Federal protegen la privacidad de las personas y su información. La privacidad ha sido fundamental para nuestra Nación desde sus inicios, y en la era digital actual salvaguardarla es más crítico que nunca.

• Hoy, el Presidente firmó una Orden Ejecutiva que creó un Consejo Federal de Privacidad permanente, que reunirá a los funcionarios de privacidad de todo el Gobierno para ayudar a garantizar la implementación de directrices federales de privacidad más estratégicas e integrales. Al igual que la ciberseguridad, la privacidad debe abordarse de forma eficaz y continua mientras nuestra nación adopta nuevas tecnologías, promueve la innovación, aprovecha los beneficios del big data y se defiende frente a amenazas en evolución.

Financiar la Ciberseguridad

Para implementar estos cambios de gran alcance, el Gobierno Federal necesitará invertir recursos adicionales en su ciberseguridad. Por eso el Presupuesto 2017 asigna más de 19 mil millones de dólares para ciberseguridad, un aumento de más del 35 por ciento con respecto al nivel aprobado para 2016. Estos recursos permitirán a las agencias elevar su nivel de ciberseguridad, ayudar a las organizaciones del sector privado y a las personas a protegerse mejor, desarticular y disuadir la actividad de los adversarios, y responder con mayor eficacia a los incidentes.

Contacto de Prensa:

Jessica Beffa
Thatcher+Co.
720-413-4938
ncsa@thatcherandco.com