Lectura 2:00 min
El gobierno debe comprar software que sea seguro: Chris DeRusha
Uno de los principales encargados de la ciberseguridad en Estados Unidos habló de cómo ha funcionado la nueva política en materia de seguridad de la información del presidente Joe Biden.
Chris DeRusha, director federal de Seguridad de la Información y subdirector Nacional Cibernético y CJ Moses, director de Seguridad de la Información de AWS
Washington, DC. El ataque a través de un software de la compañía SolarWinds le enseñó al gobierno de Estados Unidos que debe comprar software que sea seguro, dijo Chris DeRusha, quien funge como director federal de Seguridad de la Información y como subdirector Nacional Cibernético de la administración de Joe Biden.
Durante las primeras conferencias del Amazon Web Sevices (AWS) Summit en la capital estadounidense, DeRusha y CJ Moses, director de Seguridad de la Información de AWS, recordaron el hackeo al software Orion, desarrollado por la tecnológica Solar Winds, el cual ocasionó que varias compañías, entre las que se encuentra Microsoft; así como agencias de seguridad gubernamentales ─incluido el Pentágono y el Departamento de Seguridad Nacional─ fueran infectados con un software malicioso en 2020.
Hubo prácticas ahí que no debieron ser seguidas”, dijo DeRusha.
Los conferencistas también recordaron la orden ejecutiva del presidente de Estados Unidos a través de la cual se creó, en mayo del 2021, el Ciberdirectorado Nacional de la Agencia de Seguridad Nacional (NSA) y se promovió la creación de un esquema NIST vinculado con la defensa y la seguridad de la cadena de producción (supply-chain) de software.
La tecnología Zero-Trust, que hace referencia al grado de confianza que se le debe a tener a cualquier participante de una red informática: ninguna, y que ha sido desarrollada entre el gobierno estadounidense y la industria de ciberseguridad, es otro de los logros que DeRusha mencionó como parte de la nueva política de ciberseguridad del gobierno de Joe Biden.
De lo que somos capaces ahora es de construir a lo largo de las agencias con una base común, con los indicadores de desempeño y las métricas que tenemos. Es un enfoque estratégico”, dijo.
Ciberseguridad en la nube
Uno de los principales encargados de la ciberseguridad en Estados Unidos dijo que los gobiernos, al menos en Estados Unidos, se han enfocado en la nube desde el 2011, con la política Cloud First. Para el 2017, las instituciones ya habían avanzado en esta tecnología y comenzaban a identificar las brechas que tenía, entre las que la seguridad estaba entre las principales.
Como puedes ver ahora, los gobiernos son muy optimistas por moverse a la nube. Hay muchas cosas que las agencias van a tener que aprender a hacer”, dijo.
La pandemia de Covid-19, de acuerdo con DeRusha, hizo que los directores de Seguridad de la Información (CISO) de las agencias federales de Estados Unidos se hicieran más conscientes de la exposición a la que estaban sometidos. Esto obligó a las agencias comenzaran a mudar a modelos de software como servicio (SaaS), que basan su efectividad en la nube, para atender a su población.
