La pandemia del virus covid-19 ha acelerado el proceso de normalización de uso de las tecnologías en el día a día. Las organizaciones se han visto obligadas a adoptar medidas que permitan a sus empleados trabajar a distancia, lo cual implicaba un mayor número de dispositivos conectados a la red de la empresa a distancia. Esto implica un mayor riesgo para aquellas empresas que no tomaron, en su momento, las medidas necesarias de ciberseguridad que protegiesen aquellos dispositivos que la entidad entregó a los trabajadores para que pudiesen cumplir con sus labores.
De esta manera, la seguridad cibernética se ha revelado como una de las principales preocupaciones, tanto del sector público como del privado. Las infracciones en este ámbito, en un mundo cada vez más digitalizado, han ido ganando atención haciéndose necesaria una normativa que regule la materia.
En este sentido, cabe destacar que Estados Unidos fue víctima de la mayor violación de datos que se ha visto hasta la fecha. En 2016, Yahoo reveló que en 2013 había sido extraída información relacionada con más de mil millones de cuentas de usuarios. Sin perjuicio de que en 2014 sucedió lo mismo, pero afectando «solo» a 500 millones de usuarios.
En respuesta a estas brechas de seguridad e incremento exponencial de la digitalización, el Senado ha aprobado por unanimidad, sin enmiendas, la Ley de Mejora de la Ciberseguridad del «Internet of Things» (IoT) de 2020. Esta ley pone el foco en la adquisición de la tecnología y productos de IoT por parte del gobierno federal que cumplan con los estándares de seguridad que se recogen en la citada ley. Cabe destacar que la definición de dispositivo IoT recogida en la ley no incluye la tecnología y dispositivos convencionales (como, por ejemplo, teléfonos y portátiles). En este sentido, los fabricantes de los dispositivos deben cumplir con los estándares de seguridad si no quieren perder los contratos de adquisición celebrados con el gobierno, ya que se había convertido en práctica habitual que priorizasen la velocidad y precio de comercialización por encima de la seguridad.
En los 90 días siguientes a la promulgación de la norma, la ley precisa que el «National Institute of Standars and Technology» (NIST) publique los estándares necesarios para usar y administrar los dispositivos de IoT, así como de los requisitos mínimos de información para administrar los riesgos de ciberseguridad asociados con tales dispositivos. Asimismo, se establece como requisito que los nuevos estándares y directrices establecidas sean compatibles con las pautas existentes de NIST en lo que respecta a estos ámbitos. Posteriormente a la publicación de las directrices por parte del NIST, la Oficina de Administración y Presupuesto se encuentra obligada a revisar las políticas de seguridad de la información de cada agencia federal para asegurar que cumplen con los estándares de seguridad de IoT del NIST y emitir sus propias políticas para asegurar que el gobierno federal está completamente acorde con el marco de seguridad IoT del NIST. Además, el NIST debe desarrollar un programa para recopilar datos sobre vulnerabilidades y difundir esta información.
La Ley de Mejora de la Ciberseguridad de IoT únicamente regula la adquisición de tecnología por parte del gobierno federal, es decir, no impone la utilización de estos estándares al sector privado, aunque se espera que este sector utilice los citados estándares para medir la seguridad y evaluar el riesgo.
Respecto a las novedades que introduce la nueva ley, llama la atención la inclusión de un nuevo proceso para divulgar vulnerabilidades de seguridad. Esto se debe a que uno de los principales problemas a los que se enfrentan los gobiernos en la actualidad es la forma de permitir que terceros identifiquen y notifiquen vulnerabilidades de seguridad que descubren en el ámbito tecnológico de la información del gobierno, mientras que se garantiza que la divulgación en sí no genera un nuevo riego de seguridad. Igualmente, la norma requiere que el NIST publique, entre otras funciones, información sobre las vulnerabilidades de seguridad identificadas en un sistema utilizado por el gobierno. Esto obliga al Departamento de Seguridad Nacional a desarrollar la implementación de políticas, directrices y normas necesarias para abordar tales vulnerabilidades.
En definitiva, la Ley de Mejora de la Ciberseguridad del IoT tiene como objetivo principal evitar que alguna agencia federal adquiera o utilice dispositivos que no se consideren apropiados para el cumplimiento de los estándares de seguridad recogidos en la norma. Los beneficios de las organizaciones dependen en gran parte de contratos de esta magnitud con el gobierno, al ser de gran volumen, por lo que los fabricantes se verán en la obligación de cumplir con estas medidas de seguridad si no quieren poner en riesgo que el gobierno solicite dispositivos más seguros de otra entidad que sí cumpla con las directrices establecidas. Por último, se espera que sirva de catalizador para adoptar, el sector público y privado, un marco de seguridad de IoT unificado, ya que las organizaciones consideran que el NIST es un recurso fiable del cual se hacen valer para implantar sus directrices.
Asis Novela, Legal Team, Legal Army