Banner 970x250

La nueva directiva de ciberseguridad de la TSA indica que la era de la autorregulación ha terminado (si es que alguna vez hubo una)

TSA Blog Tile investing español, noticias financieras


Banner 564x300

A raíz de la orden ejecutiva (EO) para mejorar la ciberseguridad de la nación firmada por el presidente de los Estados Unidos luego de que un ataque de ransomware forzara el cierre del Colonial Pipeline, la Transportation Security Administration (TSA), una unidad del DHS y el agencia responsable de supervisar la seguridad del gasoducto el 27 de mayoesto anunció su propia directiva de seguridad de nuevos requisitos de ciberseguridad para propietarios y operadores de tuberías críticas. (Las preguntas sobre por qué hasta esta directiva de seguridad las tuberías tenían recomendaciones de seguridad, no requisitos, son un tema para otro blog).

Ahora que el polvo se ha asentado un poco en torno al ataque de ransomware Colonial Pipeline, es hora de tomar nota de algo realmente importante sobre la directiva de seguridad EO y DHS que puede estar pasando por alto ... riesgo. Si bien las dos nuevas regulaciones son un gran primer paso para resaltar la importancia de la ciberseguridad y la necesidad de requisitos regulatorios, y eso es algo grandioso, pero para prevenir otro evento de Colonial Pipeline, esto es lo que debemos considerar:

El riesgo sistémico de la infraestructura crítica es el sector privado.

A pesar de ser el sistema de canalización de productos refinados más grande de los Estados Unidos, Colonial Pipeline, es un subcontratista privado, no una entidad federal, y esto es más común para la infraestructura crítica (CI) de lo que podría pensar. El sector privado posee un enorme 85 por ciento de la infraestructura crítica y los activos clave del país. A diferencia de las empresas de servicios eléctricos, la industria de los ductos no está sujeta a estándares obligatorios de ciberseguridad, lo que crea una ecuación desequilibrada para el riesgo. Sin la responsabilidad y la supervisión de la seguridad cibernética, el sector privado se convierte en un gran riesgo sistémico (en forma de riesgo de terceros) para la infraestructura crítica, es decir, eventos externos que escapan a su control pero que tienen un gran impacto en la confiabilidad, la integridad y la confianza de los clientes.

El cumplimiento normativo voluntario es un oxímoron.

Una cosa es tener regulaciones, estándares y marcos, y otra muy distinta hacer cumplir el cumplimiento. Hay algunas industrias de autocontrol que han tenido éxito como "autorregulación" y tienen amplios programas con juntas y comités independientes y órganos y reglas de gobierno. Por ejemplo, la industria legal se aleja de la regulación al crear y apoyar la Asociación de Abogados de Estados Unidos. La industria médica tiene el mismo éxito en el autogobierno que la Asociación Médica Estadounidense. La infraestructura crítica no es una de esas industrias. Tanto los oleoductos como los gasoductos están regulados por la TSA y están bajo la autoridad de la Agencia de Infraestructura y Seguridad Cibernética (CISA). En febrero de 2021, CISA publicó la biblioteca de recursos de ciberseguridad de Pipeline, descrito como un conjunto de recursos voluntarios para fortalecer la posición de la ciberseguridad. Crear regulaciones sin obligar a empresas como Colonial Pipeline a cumplir es como dejar que el lobo cuide el gallinero. Hasta que la ciberseguridad se convierta en un mandato, la rendición de cuentas y la rendición de cuentas seguirán siendo inconsistentes en el mejor de los casos, inexistentes en el peor.

La directiva de seguridad es audaz en algunas áreas, pero no llega lo suficientemente lejos en otras.

Primero, las buenas noticias. La Directiva de seguridad da un paso adelante al exigir a los propietarios y operadores de tuberías que:

  • relación confirmado y potencial incidentes de ciberseguridad en CISA
  • Designar un coordinador de ciberseguridad para que la empresa esté disponible las 24 horas del día, los siete días de la semana.
  • Revisar sus prácticas actuales de ciberseguridad, identificar y reportar brechas y planes de remediación propuestos tanto a la TSA como al CISO dentro de los 30 días.

Considerando que los gasoductos operan en un estado regulatorio-ish autogobierno, es probable que estos tres requisitos al menos pongan en movimiento la bola de la ciberseguridad siempre que se cumplan los requisitos con una supervisión constante.

Ahora, las noticias no tan buenas. Cualquiera que busque lagunas en la directiva de seguridad encontrará fácilmente varias. Primero, no se menciona la responsabilidad, antigüedad o nivel de autoridad para el rol de "coordinador de ciberseguridad", solo que están disponibles las 24 horas del día, los 7 días de la semana. Vale la pena recordar que una de las principales recomendaciones de una auditoría de tecnología de 2018 realizada por Colonial Pipeline fue que la empresa contrató a un CISO, cargo que se considera fundamental para cualquier empresa de infraestructura crítica. En cambio, Colonial ha asignado las responsabilidades del CISO a un subordinado del COI y sabemos cómo resultó. Posteriormente, no está claro si la revisión de las prácticas de ciberseguridad debe realizarse como una autoevaluación o una auditoría externa y si el período de 30 días comienza el 27 de mayo.esto, desde el día en que se anunció la directiva de seguridad o la fecha en que se completó la revisión. Falta notablemente la referencia a un marco como NIST SP 800-171 o ISO 27001 contra el cual evaluar, lo que deja la puerta abierta a múltiples interpretaciones y carece de orientación prescriptiva cuando más se necesita.

El hecho de que haya sido necesario un ataque de ransomware en el gasoducto más grande de los Estados Unidos para demostrar la criticidad de la seguridad cibernética del gasoducto de seguridad nacional es absurdo y valida la cita atribuida a John W. Bergman, "nunca hay tiempo suficiente para hacerlo bien , pero siempre hay tiempo suficiente para volver a hacerlo ". Afortunadamente, la TSA está considerando medidas obligatorias posteriores adicionales que ayudarán aún más a la industria de los oleoductos a mejorar la ciberseguridad.

Banner 564x300

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

En nuestra web usamos cookies, si continúas navegando entendemos que las aceptas. Mas info