El imparable crecimiento en el número y sofisticación de los ataques cibernéticos ha motivado que la administración Obama esté trabajando activamente en la protección de los denominados Sistemas Nacionales de Seguridad (NSS, National Security Systems).
Los NSS son aquellos sistemas de información y telecomunicaciones utilizados por los organismos y las agencias gubernamentales estadounidenses, y por los contratistas que trabajan en y para estos organismos y agencias, en actividades relacionadas con la inteligencia, criptología, mando y control militar, o como parte de un sistema de armas o para el desarrollo de misiones militares y de inteligencia. Todos los sistemas clasificados de la administración estadounidense han sido catalogados como NSS. Además, el Departamento de Defensa ha otorgado la categoría de NSS a NIPRNet, su red informática destinada al intercambio de información no clasificada.
En este sentido, el gobierno americano a través de la División de Seguridad de la Información de la Agencia Nacional de Seguridad (NSA/IAD) – encargada de proporcionar orientación y apoyo a los propietarios y operadores de los sistemas informáticos del Pentágono y la Comunidad de Inteligencia, en especial los NSS– ha puesto en marcha el Programa de Asistencia para la Seguridad Cibernética Nacional (NSCAP, National Security Cyber Assistance Program).
El NSCAP tiene como objeto identificar y acreditar a aquellas empresas que dispongan de los recursos necesarios para ofrecer de manera ágil, efectiva y eficiente las siguientes cuatro cibercapacidades: 1) respuestas a incidentes, 2) detección de intrusiones, 3) evaluación de vulnerabilidades y 4) pruebas de penetración.
El NCSAP se articula en torno a dos grandes procesos de acreditación – uno reactivo, el Cyber Incident Response Assistance (CIRA), y otro proactivo, el Vunerability Assessments and Penetration Testing (VAPT) – con los objetivos de aprovechar eficazmente la experiencia y capacidades de la industria; promover activamente la colaboración público-privada; mejorar las capacidades gubernamentales para hacer frente a los ciber-riesgos; y elaborar un listado de proveedores de servicios cibernéticos acreditados de primer nivel para dar soporte especialmente a los NSS .
Recientemente, la NSA ha publicado el listado de las primeras nueve empresas acreditadas como proveedores CIRA – aquellas con los recursos y capacidades para la prestación de asistencia en materia de detección de intrusiones y resolución de incidentes cibernéticos- de los propietarios y operadores de las NSS. Entre las empresas acreditadas se encuentran gigantes de los sectores de defensa, telecomunicaciones o ciberseguridad como Booz Allen Hamilton, Lockheed Martin, Verizon o Fireye.
Durante el proceso de acreditación CIRA, las empresas deberán someterse (en un periodo no superior a sesenta días) a un exhaustivo examen en el que deberán probar su solvencia en 21 áreas relacionadas, directa o indirectamente, con la detección y resolución de incidentes (ver Fig.1).
Además, las empresas candidatas deberán acreditar que disponen de personal altamente calificado y capacitado para seguir los procesos y procedimientos establecidos por la NSA/IAD para la prestación de los servicios relacionados con la detección de intrusiones y resolución de incidentes cibernéticos. Del mismo modo, el CIRA persigue mejorar la calidad de los servicios prestados a través de entrenamiento, las lecciones aprendidas y compartición de información de sus empresas acreditadas.
En la actualidad, la NSA/IAD se encuentra tambien inmersa en la evaluación de las primeras empresas que han solicitado ser acreditadas como proveedores VAPT.
Estados Unidos es consciente de la debilidad e inseguridad inherente de sus sistemas nacionales de seguridad y el riesgo que ello entraña para la defensa del país, máxime cuando son muchos los países que están desarrollando y adquiriendo capacidades cibernéticas de última generación. Además, la consolidación y el fortalecimiento de la industria nacional de ciberseguridad se ha convertido en una de las prioridades estratégicas de la administración estadounidense.