Lo más importante es que los grupos de defensa civil pueden y deben recibir apoyo del gobierno en condiciones de crisis. En otros países, la recepción de un fuerte apoyo y estímulo privado por parte de dichos grupos se ha traducido en una compensación situacional durante los períodos de respuesta. Los miembros con certificaciones y roles comunitarios pueden ser compensados por las tareas de respuesta a incidentes realizadas, algo que fomenta la membresía en organizaciones de defensa civil basadas en la preocupación comunitaria y nacional.
Estados Unidos tiene una tradición de apoyo privado a este tipo de iniciativas, incluido el movimiento de preparación previo a la Primera Guerra Mundial y la Patrulla Aérea Civil de la era de la Segunda Guerra Mundial, cada uno de los cuales ayudó a desarrollar sólidas asociaciones de trabajo entre la industria y el gobierno basadas en intereses y compromisos cívicos compartidos. Con la ciberseguridad, el apoyo activo a una red de grupos de defensa civil también podría tener éxito en este sentido, creando la base de intereses y capacidades cívicos-privados compartidos a los que los esfuerzos estratégicos de CISA (¡y la financiación limitada!) pueden conectarse.
2. Apunta a constelaciones de influencia
En relación con la necesidad de enfoques colectivos que abarquen a toda la sociedad para desarrollar mejores esfuerzos de P3, las partes interesadas en la ciberseguridad privada deberían organizar mejor su alcance. En parte, esto significa que los profesionales de la ciberseguridad y sus homólogos empresariales deberían internalizar el hecho de que hablar con el público sobre los riesgos y vulnerabilidades es netamente positivo tanto para las empresas como para la sociedad.
Consideremos el ejemplo de la actividad de la administración Biden justo antes del lanzamiento de la invasión de Ucrania por parte de Putin en 2022. Al desclasificar rápidamente la información sobre amenazas sobre la movilización rusa, el gobierno estadounidense se arriesgó a tener una mayor visión de las actividades de inteligencia de la comunidad de defensa estadounidense, abriendo incluso espacio para críticas sobre el apoyo pasado a Ucrania. Sin embargo, lo que siguió fue la generación de poderosos efectos de costos de audiencia a favor del apoyo a Kiev.
Al enmarcar la vulnerabilidad y el conocimiento occidentales en la misma imagen pragmática de amenaza inminente, la administración Biden cultivó un inmenso reconocimiento popular de las repercusiones negativas de la crisis. no comprometer recursos para un tipo de mecanismo de apoyo a la seguridad que antes era impopular. El mismo tipo de mensajes sobre ciberseguridad sólo puede aportar beneficios netos a las partes interesadas en la industria de la ciberseguridad.
Si el objetivo del JCDC es, al menos en parte, injertar el mapa de vulnerabilidad digital estratégica de CISA en asociaciones colaborativas civiles e industriales, entonces intentos más directos de construir un entendimiento común y demostrar los costos de audiencia por la inacción aislarán a los actores privados cuyos mensajes implican admitir la vulnerabilidad. También convertiría el apoyo a intermediarios de servicios voluntarios en un modelo de defensa civil mucho más sostenible que cualquier otro que exista actualmente en Estados Unidos.
En parte, una mejor organización de la divulgación para la industria también significa ser inteligente acerca de qué tomadores de decisiones y redes de funcionarios son fundamentales para vender una visión de P3 liderada por el sector privado. Una ciberdefensa civil sólida como ayuda a las capacidades tradicionales de respuesta y mitigación de crisis no requiere sólo acceder a constelaciones de influencia entre el público. También significa conmutadores y programadores de acceso en el servicio público. Los conmutadores son aquellas personas con el poder de constituir y definir redes dedicadas a un propósito, como los expertos técnicos que toman decisiones sobre cómo implementar y gestionar la tecnología que dicta cómo opera una organización. Los programadores son aquellos con la capacidad de garantizar que las redes (por ejemplo, equipos de seguridad, empresas, desarrolladores) puedan trabajar juntas garantizando un lenguaje, objetivos comunes, etc.
Las asociaciones público-privadas aparentemente consisten en combinar a personas como esta para producir un mejor resultado a través de la colaboración que antes. Desafortunadamente, como enfatizan las críticas al JCDC, los esfuerzos de arriba hacia abajo del P3 a menudo no logran lograrlo de manera efectiva debido al papel de los parámetros estratégicos que impulsan los parámetros derivados de la misión. Si la industria va a dar forma a las iniciativas cibernéticas de P3, las de CISA se alinean más claramente con consideraciones tácticas prácticas, mapear de dónde provienen la innovación y la adaptación en la interacción de individuos clave distribuidos en una compleja gama de organizaciones que interactúan (particularmente durante una crisis) se convierte en un punto común crítico. capacidad.
3. Utilice la academia y el resto del mundo.
En relación con esta necesidad de un mejor mapeo del panorama de respuesta para la extensión de la ayuda, las partes interesadas de la industria deben evitar toda noción de excepcionalismo estadounidense (o, al menos, la idea de que Estados Unidos constituye una superficie de ataque única). Como ya se mencionó, la actividad extranjera de P3 está en muchos casos muy por delante de lo que existe en Estados Unidos y puede servir como modelos razonables para experimentar en la construcción de una colaboración más allá de lo que se propone desde arriba hacia abajo. Además, los incidentes que enfrentan actores privados en otros países pueden y deben servir como base para esfuerzos colectivos para modelar activamente y prepararse para futuras calamidades.
Hay argumentos sólidos para crear recursos analíticos compartidos que aprovechen no solo el enfoque técnico tradicional de tantas iniciativas de ciberseguridad, sino también el enfoque institucional-estratégico que el gobierno federal tan a menudo enfatiza. En este caso, los académicos y las universidades son socios obvios, particularmente cuando se pueden desarrollar asociaciones dentro de las comunidades a nivel local y estatal.
La colaboración con el objetivo de aprender más sobre la gobernanza de la respuesta a las amenazas cibernéticas y la interacción de las consecuencias estratégicas con los aspectos prácticos operativos sólo puede servir para mejorar la preparación de la industria y, quizás lo más importante, generar una conciencia popular que es tan crítica para el éxito final de la P3. Los académicos y pra-académicos (“profesionales-académicos”) son a menudo interlocutores invaluables para traducir intereses compartidos expresados de manera divergente entre socios públicos y privados.
4. Mejorar los vínculos con la fuerza laboral
Si bien hasta ahora influye en todas las soluciones, quizás el paso más simple que los actores privados pueden dar para indicar una mayor aceptación de la asociación con el sector público es un mayor compromiso con los canales para el desarrollo de la fuerza laboral. La educación superior mejora constantemente estos canales. La programación de ciberseguridad de los colegios comunitarios a menudo está orientada al servicio público con un fuerte apoyo de organizaciones como la NSA o el DHS. Señalar el apoyo a tales programas mediante la contratación de graduados y el patrocinio de eventos envía un fuerte mensaje positivo sobre lo que está funcionando con los desembolsos federales en ciberseguridad nacional (como ya lo hacen muchas empresas). Trabajar para fortalecer aún más estos canales involucrando a estudiantes preuniversitarios, presionando a las localidades para que apoyen el reciclaje de trabajadores y más podría llevar esa señal mucho más lejos.
5. No perdone a los proveedores de ciberseguridad
Finalmente, como otros han sugerido, las partes interesadas en la ciberseguridad no pueden rehuir el hecho de que las iniciativas P3 como las que presenta el JCDC están dominadas por proveedores de ciberseguridad. Existen numerosas razones por las que esto no es sorprendente. Lo más significativo es que las voces de los proveedores a menudo se ven amplificadas por la participación de mercado y la realidad de que muchos funcionarios federales (los conmutadores y programadores) ven el futuro de la seguridad digital nacional como impulsado, al menos en parte, por consideraciones de diseño. Esta dinámica no cambia la realidad de que las soluciones de seguridad colaborativas ascendentes en Estados Unidos son deseables más allá de lo que están brindando los esfuerzos actuales de P3.
De manera similar, las conversaciones sobre seguridad por diseño deben involucrar voces más allá de los proveedores, el gobierno y el consumidor, a menudo inexperto. Los equipos de seguridad tienen la clara responsabilidad de señalar fallas en los productos, tecnologías de infraestructura subyacentes y nuevas prácticas. Los equipos de seguridad pueden y deben votar con sus presupuestos en contra de soluciones de compromiso que sean lo suficientemente buenas pero no sostenibles o escalables al estándar de seguridad comunitaria.