El compromiso ofrece ejemplos de cómo las empresas pueden alcanzar los objetivos, aunque señala que las empresas “tienen la discreción de decidir cuál es la mejor manera” de hacerlo. El documento también enfatiza la importancia de que las empresas demuestren públicamente “progresos mensurables” en sus objetivos, así como que documenten sus técnicas “para que otros puedan aprender”.
CISA desarrolló el compromiso en consulta con empresas de tecnología, buscando comprender qué sería factible para ellas y al mismo tiempo cumplir con los objetivos de la agencia, según Goldstein. Eso significaba asegurarse de que los compromisos fueran viables para empresas de todos los tamaños, no sólo para los gigantes de Silicon Valley.
La agencia originalmente intentó utilizar su Colaboración Conjunta de Ciberdefensa para incitar a las empresas a firmar el compromiso, según el funcionario de la industria tecnológica, pero fracasó cuando las empresas cuestionaron el uso de un grupo de colaboración operativo de ciberdefensa por “una cuestión política y legal”, dijo la industria. dice el funcionario.
«La industria expresó su frustración por intentar utilizar el JCDC para obtener promesas», dice el funcionario, y CISA «sabiamente retiró ese esfuerzo».
Luego, CISA mantuvo conversaciones con empresas a través del Consejo Coordinador del Sector de Tecnología de la Información y modificó el compromiso en función de sus comentarios. Originalmente, el compromiso contenía más de siete objetivos, y CISA quería que los firmantes se comprometieran con «métricas firmes» para mostrar el progreso, según el funcionario de la industria. Al final, dice esta persona, CISA eliminó varios objetivos y “amplió el lenguaje” sobre la medición del progreso.
John Miller, vicepresidente senior de políticas, confianza, datos y tecnología del Consejo de Innovación en Tecnología de la Información, un importante grupo comercial de la industria, dice que el cambio fue inteligente, porque las métricas de progreso concretas, como la cantidad de usuarios que utilizan la autenticación multifactor, podría ser “fácilmente malinterpretado”.
Goldstein dice que el número de firmantes del compromiso «supera mis expectativas sobre dónde estaríamos» en este momento. El funcionario de la industria dice que no conocen ninguna empresa que se haya negado definitivamente a firmar el compromiso, en parte porque los proveedores quieren «mantener abierta la opción de firmar» después del evento de lanzamiento de CISA en RSA. «Todo el mundo está en una especie de modo de esperar y ver qué pasa».
La responsabilidad legal es una de las principales preocupaciones de las posibles empresas signatarias. «Si termina habiendo, inevitablemente, algún tipo de incidente de seguridad», dice Miller, «cualquier cosa [a] La compañía ha dicho públicamente que podría usarse en juicios”.
Dicho esto, Miller predice que algunas empresas globales que enfrentan nuevos y estrictos requisitos de seguridad europeos firmarán el compromiso de Estados Unidos de “obtener ese crédito” por algo que ya tienen que hacer.
La campaña Secure by Design de CISA es la pieza central del ambicioso plan de la administración Biden para trasladar la carga de la ciberseguridad de los usuarios a los proveedores, un tema central de la Estrategia Nacional de Ciberseguridad de la administración. El impulso a la ciberresponsabilidad corporativa sigue a años de ataques disruptivos a la cadena de suministro contra fabricantes de software críticos como microsoft, Vientos solares, Cajeroy Cambiar la atención médicaasí como una lista creciente de vulnerabilidades de software generalizadas que han impulsado ataques de ransomware en escuelas, hospitales y otros servicios esenciales. Los funcionarios de la Casa Blanca dicen que el patrón de violaciones costosas y a menudo evitables demuestra la necesidad de una mayor responsabilidad corporativa.