En este momento estás viendo Alianza presenta plan de costo cero para mejorar la ciberseguridad nacional

Alianza presenta plan de costo cero para mejorar la ciberseguridad nacional

  • Autor de la entrada:
  • Categoría de la entrada:Análisis
  • Última modificación de la entrada:septiembre 2, 2025

La Alianza de Seguridad en Internet (ISA) presentó el martes un plan para reforzar la ciberseguridad nacional que prácticamente no costará nada.

En un documento de 21 páginas, la alianza ofrece cinco recomendaciones que, según afirma, «no costarán prácticamente nada al gobierno federal» y, además, ahorrarán miles de millones de dólares a la industria privada.

El documento, titulado «Una ruta de costo cero hacia la ciberseguridad estadounidense», describe iniciativas que materializan la filosofía de gobierno de la administración Trump.

«Se trata de programas pragmáticos que se pueden implementar rápidamente», señala el documento. Generarán mejoras sustanciales significativas en la ciberseguridad de nuestra nación casi de inmediato.

Estas medidas también encaminarán la seguridad a mediano y largo plazo de nuestra nación hacia una senda de eficacia mensurable y sostenibilidad económica, que nos permitirá abordar las crecientes amenazas de fallos sistémicos, continuó.

Con el respaldo de la Casa Blanca, añadió, estas iniciativas pueden transformar la ciberseguridad de una carga de cumplimiento normativo a una ventaja competitiva, y asegurar tanto el futuro digital de la nación como el legado del presidente como el líder que convirtió la desregulación en un triunfo para la seguridad nacional.

Reducción de la Duplicación de Normas.

Una recomendación de la alianza es que la Oficina Federal de Administración y Presupuesto (OMB) utilice su autoridad actual para eliminar la duplicación de regulaciones de ciberseguridad.

“El alcance de la duplicación de regulaciones de ciberseguridad es asombroso”, declaró David Bader, director del Instituto de Ciencias de Datos del Instituto Tecnológico de Nueva Jersey (NJIT) en Newark, Nueva Jersey.

“Un análisis reciente de la GAO reveló que, en tan solo cuatro importantes agencias federales, entre el 49% y el 79% de los parámetros de los requisitos de ciberseguridad entraban en conflicto directo entre sí”, declaró. “El ejemplo más evidente es el informe de incidentes, donde actualmente contamos con 45 requisitos diferentes de informe de incidentes cibernéticos distribuidos en 22 agencias federales, cada una con sus propios formularios y sitios web”.

“Este caos regulatorio está socavando gravemente nuestras capacidades de ciberseguridad”, continuó. “Grandes instituciones financieras informan que sus equipos de ciberseguridad ahora dedican más del 70% de su tiempo al cumplimiento normativo en lugar de mejorar la seguridad. Algunas empresas dedican casi la mitad de su presupuesto de ciberseguridad a completar informes de cumplimiento duplicados”.

“Cuando los profesionales de la ciberseguridad se ven abrumados por el papeleo en lugar de proteger las redes, básicamente estamos haciendo el trabajo de los atacantes”, afirmó. “Eliminar estos requisitos duplicados liberaría inmediatamente miles de millones de dólares en recursos que podrían destinarse a la detección de amenazas, la respuesta a incidentes y las mejoras de seguridad”.

El problema no solo radica en que las regulaciones duplicadas hacen perder tiempo a quienes las aplican, sino que a menudo son diferentes y, en ocasiones, contradictorias entre sí, añadió Roger Grimes, experto en defensa de KnowBe4, un proveedor de formación en concienciación sobre seguridad, en Clearwater, Florida.

“El NIST [Instituto Nacional de Estándares y Tecnología] recomienda no tener un tamaño mínimo de contraseña, eliminando la necesidad de cambiarla periódicamente y el requisito de complejidad”, declaró. “La mayoría de las demás guías de ciberseguridad, incluidas muchas regulaciones gubernamentales, exigen exactamente lo contrario”.

También podría haber un obstáculo importante para implementar la recomendación de la ISA a través de la OMB. «La función de la OMB es coordinar las regulaciones y determinar si son inconsistentes, duplicadas o similares», declaró Berin Szóka, presidente de TechFreedom, un grupo de defensa de la tecnología, en Washington, D.C. «No pueden derogar regulaciones como afirma este documento».

«Derogar las normas es responsabilidad de las agencias», declaró. «Entonces, la pregunta que surge es si las agencias pueden eludir el proceso normal de elaboración de normas. La administración Trump ha afirmado que las agencias no tienen que pasar por el proceso normal de elaboración de normas si consideran que una norma es ilegal. Eso simplemente no es cierto. Así no funciona la Ley de Procedimiento Administrativo».

Análisis de Costo-Beneficio de las Normas Cibernéticas.

La ISA también recomienda que se exija un análisis de costo-beneficio para todas las regulaciones de ciberseguridad. «A pesar de gastar billones de dólares en el cumplimiento normativo de ciberseguridad, ningún estudio ha documentado que las regulaciones de ciberseguridad realmente mejoren la seguridad», afirmó.

Sin embargo, Heath Renfrow, CISO y cofundador de Fenix24, una empresa de recuperación ante desastres cibernéticos en Chattanooga, Tennessee, señaló que si bien a primera vista un análisis de costo-beneficio parece una salvaguardia económica, en ciberseguridad, el costo es tangible, mientras que el beneficio es probabilístico.

“¿Cómo se cuantifica el coste evitado de un evento de ransomware que no ocurrió gracias a la adopción de la MFA?”, preguntó. “Los marcos tradicionales de coste-beneficio, como la Circular A-4 de la OMB, fracasan porque los ciberataques son eventos de baja frecuencia y alto impacto con efectos secundarios en cascada”.

“Dicho esto, obligar a las agencias a, al menos, articular supuestos, modelar escenarios y comprobar la proporcionalidad mejoraría la calidad de la redacción regulatoria”, declaró. “El peligro reside en su instrumentalización. Las empresas pueden argumentar que, a menos que se pueda demostrar que una brecha costará X cantidad de dinero, la regulación no merece la pena. El equilibrio consiste en garantizar que el análisis informe la regulación, sin paralizarla”.

Bader, del NJIT, coincidió en que el riesgo de utilizar el análisis coste-beneficio para evitar regulaciones necesarias es real y preocupante. “Muchos beneficios de la ciberseguridad son preventivos y sistémicos, lo que dificulta su captura en los modelos económicos tradicionales”, afirmó. Los efectos en cascada que hemos observado en ataques a la cadena de suministro como el de SolarWinds demuestran que el coste real de los ciberincidentes suele superar con creces las estimaciones iniciales.

Sin embargo —continuó—, cuando se implementa correctamente con metodologías que consideren estas incertidumbres, el análisis coste-beneficio podría mejorar la ciberseguridad al garantizar que los recursos se destinen a las medidas de seguridad más eficaces. La clave reside en desarrollar modelos lo suficientemente sofisticados como para gestionar las características únicas del ciberriesgo, en lugar de aplicar marcos regulatorios estándar de coste-beneficio que no fueron diseñados para este ámbito.

Reforma de la Ley de Información sobre Ciberseguridad.

Otra recomendación de la ISA es que la Ley de Intercambio de Información sobre Ciberseguridad de 2015 se reautorice y modernice.

La Ley de Intercambio de Información sobre Ciberseguridad (CISA 2015), la base legal para la colaboración cibernética público-privada, expirará el 30 de septiembre de 2025, a menos que se reautorice, explicó la ISA. “Permitir que caduque limitaría gravemente la capacidad del gobierno para compartir información sobre amenazas con la industria, lo que socavaría la seguridad nacional”, sostuvo.

Bader argumentó que la CISA necesita una modernización urgente porque fue redactada para un panorama de amenazas que ya no existe. “La ley de 2015 se elaboró ​​antes de que comprendiéramos los ataques basados ​​en IA, las sofisticadas vulnerabilidades de la cadena de suministro o las vulnerabilidades únicas de la infraestructura en la nube”, afirmó. Las definiciones de lo que constituye información de ciberseguridad compartible son demasiado limitadas para el entorno de amenazas actual”.

“Con la llegada de la IA y la capacidad de crear código malicioso a una velocidad sin precedentes, las formas tradicionales de compartir información no pueden hacer frente a la amenaza”, añadió Matt Stern, director de seguridad de Hypori, una empresa de seguridad de infraestructura móvil con sede en Reston, Virginia.

“Si queremos siquiera equipararnos con la amenaza”, declaró, “debemos modernizar la normativa para que pueda facilitar que la información sobre amenazas llegue a quienes la necesitan de forma mucho más realista y rápida”.

Renfrow, de Fenix24, añadió que la participación del sector privado en el intercambio de información sigue siendo escasa con la ley vigente. «La modernización debería incluir salvaguardas de responsabilidad para las empresas que compartan indicadores de compromiso de buena fe y obligaciones recíprocas para que el gobierno devuelva información procesable en tiempo real», afirmó.

Resolviendo la escasez de personal en ciberseguridad.

La ISA también recomienda la creación de un personal de ciberseguridad rentable para el gobierno, principalmente a través de la Ley PIVOTT, actualmente en trámite en el Congreso.

Bajo la Ley PIVOTT (Proporcionando a las Personas Diversas Oportunidades de Capacitación Técnica), los estudiantes pueden inscribirse en los programas de ciberseguridad existentes que ofrecen las universidades, los colegios comunitarios y los programas de certificación. El gobierno federal cubriría su matrícula. A cambio, los estudiantes estarían obligados a realizar una cantidad específica de servicios gubernamentales.

El objetivo de PIVOTT es matricular hasta 10.000 estudiantes al año. «A ese ritmo, PIVOTT resolvería la escasez de personal de ciberseguridad del gobierno federal (35.000) en menos de 4 años», afirmó la ISA. señaló.

“El modelo de aprendizaje y rotación de la Ley PIVOTT es prometedor porque trata al talento cibernético como un recurso renovable”, dijo Renfrow. “Se traslada a profesionales cualificados entre agencias en lugar de que cada agencia intente desarrollar su propia cartera aislada”.

“Cuatro años es optimista”, añadió, “pero sin un cambio estructural como PIVOTT, el problema persistirá indefinidamente”.

Si bien considera que el concepto PIVOTT es acertado, Ida Byrd-Hill, directora ejecutiva y fundadora de Automation Workz, una consultora de reciclaje profesional y diversidad en Detroit, Michigan, argumentó que se debería destinar más dinero al sistema de desarrollo de la fuerza laboral del Departamento de Trabajo. “La mayoría de la gente no se da cuenta de que simplemente obtener formación tecnológica en una universidad, colegio o centro de estudios superiores no es suficiente si no se cuenta con una certificación”, declaró.

“El problema podría haberse resuelto hace mucho tiempo si el gobierno hubiera apoyado programas de aprendizaje y formación”, añadió. “El gobierno aún no ha accedido a hacerlo. Deben intensificar sus esfuerzos. No se trata solo de becas y formación”.

Creación de un Panel Nacional de Ciberseguridad.

Una quinta recomendación de la ISA es establecer un panel nacional macroeconómico de ciberseguridad.

La ISA explicó que el gobierno federal gasta decenas de miles de millones de dólares cada año en una amplia gama de proyectos de ciberseguridad. “Sin embargo, sin un modelo sofisticado, los responsables políticos ignoran el coste económico total de las ciberamenazas, el retorno de la inversión (ROI) de las defensas, la utilidad de métodos alternativos como los programas de incentivos en lugar de la regulación, los impactos sistémicos de los incidentes graves y las formas más rentables de eliminar, mitigar o transferir el riesgo”, señaló.

Recomendó al Director Nacional de Ciberseguridad colaborar con las agencias del gobierno federal para promover una metodología de evaluación de riesgos cibernéticos más sofisticada basada en el probado marco NACD-ISA.

“Necesitamos desesperadamente un panel nacional de ciberseguridad porque nuestro enfoque actual para la evaluación de riesgos cibernéticos es fundamentalmente deficiente”, afirmó Bader. “Actualmente, decenas de agencias realizan sus propias evaluaciones de riesgos cibernéticos sin coordinación ni metodología común. Es como intentar comprender la salud de la economía estadounidense consultando 22 informes financieros diferentes e incompatibles”.

“El marco NACD-ISA que sustentaría este panel ha sido validado de forma independiente por el MIT y PwC Research”, continuó. “Las organizaciones que utilizan estos principios tienen un 85% menos de incidentes cibernéticos y resultados significativamente mejores en la gestión de riesgos. Esto no es teórico; es un enfoque probado que funciona a nivel empresarial”.

“Considérelo como un Índice Dow Jones Cibernético: no predice los movimientos diarios, sino que mide la salud estructural de la economía bajo estrés cibernético”, añadió Renfrow. “Sin esa visibilidad, los responsables políticos están actuando a ciegas en un ámbito donde los adversarios ya están tratando el ciberespacio como una guerra macroeconómica”.

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,