Por: Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente.
Hace unos días, la administración Biden-Harris lanzó su Estrategia Nacional de Ciberseguridad, para renovar la visión y los objetivos del gobierno de los EE. UU. y lograr un ecosistema digital seguro y protegido en esta década. Microsoft comparte la visión de la estrategia y cree que el trabajo enfocado en sus objetivos puede mejorar de manera fundamental la preparación cibernética de la nación en cuestiones de ciberseguridad. Nos sentimos alentados de manera especial por el enfoque de la administración en la colaboración público-privada, tanto al recibir aportes durante el desarrollo de la estrategia como al reconocer la necesidad de «niveles sin precedentes» de colaboración profunda y duradera en el futuro.
Somos firmes en nuestro compromiso de trabajar con el gobierno de los EE. UU. y otros que comparten la visión estratégica de la administración en todo el mundo, para fortalecer de manera rápida nuestra postura colectiva frente al riesgo cibernético y, al mismo tiempo, ayudar a garantizar nuestra resiliencia futura. Microsoft continuará con la creación de productos y servicios seguros a través de nuestras innovadoras prácticas de ingeniería y, al mismo tiempo, ofrecerá a los clientes servicios de seguridad impulsados por IA y otras tecnologías innovadoras, para ayudar a proteger a las personas, las empresas y los gobiernos. Damos la bienvenida a más oportunidades para contribuir a la implementación de la estrategia y para ayudar a fortalecer las capacidades de seguridad cibernética de Estados Unidos.
También esperamos asociarnos para mejorar las asociaciones público-privadas que la estrategia reconoce como fundamentales para lograr sus objetivos. Necesitamos nuevas formas de abordar los riesgos urgentes, pero también necesitamos compromisos renovados con asociaciones innovadoras y sostenidas para embarcarnos en los esfuerzos iterativos de varios años necesarios para lograr los objetivos de la estrategia.
En Microsoft estamos de acuerdo en que la ciberseguridad es un deporte de equipo
La escala y la eficiencia logradas por los actores de amenazas que colaboran en la dinámica economía del ciberdelito hacen que mejorar nuestro trabajo en equipo sea aún más imperativo. Los gobiernos, la industria y otros socios del ecosistema deben trabajar juntos de manera más efectiva que los actores de amenazas, para superar su especialización e innovación. O, como ha dicho a menudo el exdirector nacional de cibernética Chris Inglis: “Tienes que vencernos a todos para vencer a uno de nosotros”.
Se requerirán esfuerzos de implementación colectivos y coordinados. Como destacaron Kemba Walden, Director Nacional Cibernético Interino, y Anne Neuberger, Asesora Adjunta de Seguridad Nacional para Tecnología Cibernética y Emergente, cuando lanzaron la estrategia hace unos días: «Una estrategia es tan buena como su implementación», y mientras los esfuerzos de implementación impulsados por agencias gubernamentales ya han comenzado, hay mucho más por hacer y se debe reflejar un «sentido de urgencia» en la búsqueda de los próximos pasos.
En los cinco pilares de la estrategia, nuestros esfuerzos colectivos deben centrarse en los resultados. Tendremos que explorar formas más ágiles de colaborar en pilotos y otras iniciativas que puedan ayudarnos a anticipar desafíos, obtener información y priorizar inversiones para lograr los resultados deseados de manera más efectiva.
Por ejemplo, acogemos con beneplácito el objetivo de la estrategia de garantizar que los proveedores de tecnología sean responsables del uso de las mejores prácticas de seguridad al desarrollar y administrar software y productos digitales. Como describió nuestro Director de Seguridad de la Información (CISO, por sus siglas en inglés) Bret Arsenault el año pasado, la Orden Ejecutiva (EO, por sus siglas en inglés) 14028 ayudó a acelerar nuestras inversiones en curso en la seguridad de la cadena de suministro de software, tanto para Microsoft como para el ecosistema de software más amplio. Esperamos los esfuerzos continuos de la Oficina de Administración y Presupuesto, el Consejo Regulador Federal de Adquisiciones y las agencias para implementar los requisitos de la Sección 4 de EO 14028 de una manera que mejore la gestión de riesgos de la cadena de suministro federal. También creemos que los pilotos a corto plazo para entregar y usar la información de la lista de materiales de software (SBOM, por sus siglas en inglés) y otros artefactos podrían ayudar a identificar enfoques adicionales para mejorar los resultados de seguridad. Asimismo, los pilotos a corto plazo u otras iniciativas podrían ayudar a demostrar el impacto de las metas de modernización complementarias de la administración, para reforzar la importancia de las inversiones urgentes. También esperamos trabajar con el NIST y otras agencias a medida que los conceptos de requisitos de la industria «seguros por diseño» y «seguros por defecto» se definan de manera más concreta al tiempo que garantizan que se mantengan enfocados en los resultados.
La colaboración de Microsoft con socios federales para interrumpir y desmantelar a los actores de amenazas, un pilar clave de la estrategia, también demuestra el valor de los esfuerzos iterativos y la asociación. Nuestra Unidad de Delitos Digitales ha luchado contra el delito cibernético, para proteger a individuos y organizaciones y aumentar los costos operativos de los delincuentes cibernéticos desde 2008. En los últimos años, nuestra creciente colaboración en las disrupciones con las fuerzas del orden, las empresas de seguridad, los investigadores y otros ha aumentado nuestra escala e impacto. Trabajamos de manera activa en nuevas acciones para interrumpir a los delincuentes y proteger el ecosistema digital, en consonancia con los objetivos de la estrategia.
Cada disrupción de la infraestructura del ciberdelito trae lecciones aprendidas, y sabemos que una colaboración más rápida entre los defensores comprometidos con un contexto de amenaza compartido significa que podemos alinear esfuerzos y tener un impacto mucho más amplio, para proteger a más personas y organizaciones mientras los delincuentes se ven obligados a reagruparse. Para facilitar una «colaboración específica de amenazas» más ágil, apoyamos el objetivo de la estrategia de aprovechar los centros sin fines de lucro y las células temporales que reúnen de manera efectiva a los operadores confiables.
Nuestro futuro digital depende de nuestra capacidad de asociarnos para mejorar los resultados de ciberseguridad, y damos la bienvenida a la estrategia integral de la administración y su visión de colaboración. Como próximo paso, Microsoft continuará su reflexión sobre cada uno de los cinco pilares de la estrategia, y esperamos comprometernos con otros miembros de la comunidad en el «propósito y prioridades compartidos» articulados por la estrategia. Un diálogo continuo es fundamental para el trabajo en equipo ágil y la defensa colectiva.
