Orden ejecutiva sobre ciberseguridad: implicaciones clave para la industria manufacturera

24 de enero de 2025

Un candado digital con patrones de circuitos y rastros de luz simboliza la ciberseguridad y la protección de datos para los bufetes de abogados sobre un paisaje urbano difuminado, ideal para los abogados de Chicago que buscan un apoyo avanzado en litigios.

El 16 de enero de 2025, el presidente Joe Biden emitió la«Orden ejecutiva sobre el fortalecimiento y la promoción de la innovación en la ciberseguridad de la nación», una directiva integral diseñada para abordar la creciente complejidad y sofisticación de las amenazas cibernéticas dirigidas a los Estados Unidos. La orden ejecutiva tiene por objeto establecer una estrategia nacional coherente para mejorar la ciberseguridad en los organismos federales, las empresas privadas y los sectores de infraestructura crítica. La Orden Ejecutiva regula una amplia gama de cuestiones críticas, entre las que se incluyen nuevas normas de ciberseguridad para los contratistas federales, la mejora del intercambio de información entre el sector público y el privado, la promoción de tecnologías avanzadas como la criptografía resistente al quantum y la inteligencia artificial (IA), y la imposición de sanciones a los actores cibernéticos extranjeros. Las iniciativas de la Orden Ejecutiva demuestran el compromiso de reforzar las defensas de ciberseguridad de la nación en un panorama digital en rápida evolución e incorporan enfoques que se consideran generalmente como mejores prácticas para mejorar la ciberseguridad.

Para seguir avanzando en las iniciativas descritas en la orden, la Agencia de Seguridad Cibernética y de Infraestructuras (CISA), una entidad federal clave responsable de coordinar los esfuerzos nacionales para proteger las infraestructuras críticas, amplió la directiva con marcos de implementación detallados y orientaciones adicionales. La participación de la CISA subraya su papel crucial en la puesta en práctica de la orden ejecutiva y en la transformación de sus directrices políticas en estrategias viables. A través de la colaboración con líderes del sector, innovadores tecnológicos y partes interesadas del Gobierno, la CISA ha abordado retos específicos, como la adopción de criptografía resistente a la computación cuántica, el despliegue de inteligencia artificial en las defensas de ciberseguridad y la mejora de los mecanismos de intercambio de información entre el sector público y el privado. Estos esfuerzos hacen hincapié en fomentar la innovación, mejorar la resiliencia y proteger el ecosistema digital de la nación frente a las amenazas emergentes. Basándose en la Orden Ejecutiva, la CISA busca salvar la brecha entre los objetivos políticos y las prácticas de ciberseguridad sobre el terreno, garantizando que la postura de ciberseguridad de la nación evolucione en consonancia con el panorama de amenazas en rápida evolución.

La transición de la presidencia al presidente Donald Trump el 20 de enero de 2025 ha suscitado dudas sobre el futuro de la orden ejecutiva de Biden. Históricamente, el presidente Trump se ha mostrado a favor de la desregulación y, durante su primer mandato, derogó varias órdenes ejecutivas emitidas por administraciones anteriores. La posibilidad de modificar o derogar la Orden Ejecutiva es especialmente significativa para el sector manufacturero, que es un componente fundamental de la economía estadounidense y un blanco frecuente de ciberataques.

El objetivo de esta guía es triple. En primer lugar, examina los elementos clave de la Orden Ejecutiva vigente. A continuación, analiza las posibles modificaciones que podría implementar la administración Trump. Por último, ofrece orientación específica para las empresas manufactureras con el fin de ayudarles a navegar por este entorno regulatorio y de amenazas en constante evolución, basándose en recursos anteriores relacionados publicados por Foley & Lardner y el Cybersecurity Manufacturing Innovation Institute (CyManII), a los que se hace referencia al final de esta alerta.

Disposiciones clave del decreto ejecutivo y su impacto en la industria manufacturera

Normas mínimas de ciberseguridad para contratistas federales

Una disposición fundamental del decreto ejecutivo exige medidas básicas de ciberseguridad a los contratistas federales. Entre ellas se incluyen la protección del acceso a sistemas y datos críticos mediante la autenticación multifactorial (MFA), la incorporación de herramientas de detección y respuesta en los puntos finales (EDR) para supervisar, detectar y responder a las amenazas de ciberseguridad, y el uso de cifrado para proteger los datos confidenciales tanto en tránsito como en reposo.

Los fabricantes que suministran bienes o servicios al gobierno federal deben cumplir estas normas de ciberseguridad para mantener su elegibilidad para los contratos gubernamentales. Para muchas empresas, esto puede requerir inversiones sustanciales en la actualización de sistemas, la adopción de nuevas tecnologías y la formación del personal. El incumplimiento podría dar lugar a la pérdida de lucrativos contratos federales y a un posible daño a la reputación.

Mejora del intercambio de información entre el sector público y el privado

La Orden Ejecutiva ordena a las agencias federales que mejoren los mecanismos para compartir información sobre amenazas con entidades del sector privado. Esta colaboración tiene como objetivo proporcionar información oportuna y útil para ayudar a las empresas a defenderse de las amenazas cibernéticas emergentes.

Esta iniciativa beneficia al sector manufacturero, ya que es uno de los principales objetivos de los ataques de ransomware y el robo de propiedad intelectual. El acceso a información sobre amenazas en tiempo real permite a los fabricantes identificar vulnerabilidades, responder rápidamente a los incidentes y mitigar los riesgos de forma más eficaz. Aquí puede encontrar un plan de incidentes de ransomware centrado en la fabricación: Manual de ransomware.

Transición a la criptografía resistente al quantum

La Orden Ejecutiva destaca la urgente necesidad de adoptar algoritmos criptográficos resistentes a la computación cuántica para hacer frente a la amenaza a largo plazo que plantean los avances en este campo. A medida que la fabricación incorpora cada vez más tecnologías digitales y sistemas interconectados, la protección de los diseños patentados, los datos de la cadena de suministro y otra información confidencial es esencial para las empresas. La adopción temprana del cifrado resistente a la computación cuántica puede proporcionar una ventaja competitiva y proteger los activos críticos frente a las amenazas actuales y futuras. Las directrices para abordar la criptografía resistente a la computación cuántica están disponibles en el NIST y las primeras normas de cifrado poscuántico se encuentran aquí.

Aprovechar la IA para la ciberseguridad

La Orden Ejecutiva promueve el uso de herramientas de ciberseguridad basadas en IA para identificar y contrarrestar amenazas cibernéticas avanzadas en tiempo real. La IA tiene un potencial transformador para el sector manufacturero, ya que puede automatizar las estrategias de detección y respuesta ante amenazas. La IA también es una herramienta probada para minimizar las interrupciones operativas, proteger la propiedad intelectual y garantizar la integridad de las líneas de producción. Los programas piloto descritos en la Orden Ejecutiva podrían servir de modelo para una adopción más amplia en toda la industria. La IA puede acelerar significativamente la detección y mitigación de los ciberataques, un área en desarrollo por parte de CyManII.

Sanciones contra ciberactores extranjeros

La Orden Ejecutiva otorga al gobierno federal la autoridad para imponer sanciones a las personas y entidades responsables de ciberataques dirigidos contra organizaciones estadounidenses. Las sanciones sirven como medida disuasoria contra los ciberataques patrocinados por Estados y el espionaje industrial. Para los fabricantes, esta disposición proporciona una capa adicional de protección y pone de relieve el compromiso del gobierno con la protección de las industrias críticas.

Posibles cambios bajo la administración Trump

Desregulación de las normas de ciberseguridad

El énfasis del presidente Trump en minimizar las cargas regulatorias puede dar lugar a una reducción de los requisitos de ciberseguridad en la Orden Ejecutiva. Esto podría trasladar la responsabilidad de implementar medidas sólidas de ciberseguridad del gobierno federal a las empresas individuales.

Centrarse en la resiliencia de la cadena de suministro

Teniendo en cuenta la importancia de la industria manufacturera estadounidense y su papel en la competitividad global y la estabilidad económica, prevemos que el presidente Trump emitirá directrices para garantizar la resiliencia de la cadena de suministro con el fin de mejorar la productividad de los fabricantes estadounidenses. Seguiremos de cerca estos cambios previstos y publicaremos alertas en el futuro según corresponda.

Reordenación de prioridades en las iniciativas de ciberseguridad

Si bien la actual Orden Ejecutiva hace hincapié en la criptografía resistente al quantum y la IA, es posible que la administración Trump se centre primero en los retos inmediatos de ciberseguridad y posponga las soluciones a largo plazo que requieren una inversión significativa.

Menor énfasis en la colaboración público-privada

Los cambios en las iniciativas de intercambio de información podrían reducir el apoyo gubernamental a las iniciativas de ciberseguridad del sector privado, lo que podría obligar a los fabricantes a buscar fuentes alternativas de inteligencia sobre amenazas.

Aplicación selectiva de sanciones

Un enfoque más selectivo de las sanciones podría cambiar el efecto disuasorio sobre los ciberactores extranjeros, lo que podría aumentar el riesgo de ataques selectivos contra empresas manufactureras estadounidenses.

Guía para empresas manufactureras

Dada la incertidumbre que rodea el futuro de la Orden Ejecutiva, los fabricantes deben adoptar un enfoque proactivo en materia de ciberseguridad. A continuación se indican medidas prácticas para mejorar la resiliencia:

Fortalecer las medidas básicas de ciberseguridad

Adopte las mejores prácticas del sector:garantice la implementación de MFA, EDR y cifrado en todos los sistemas críticos.
Tecnología operativa segura (OT):Proteja los sistemas de control industrial (ICS) y otros componentes OT esenciales para las operaciones de fabricación.
Realizar evaluaciones periódicas:Las auditorías periódicas pueden ayudar a identificar vulnerabilidades y priorizar las medidas correctivas.
Invierta en la formación de los empleados: más del 80 % de los ataques de ransomware y otros ciberataques pueden atribuirse al «factor humano». Por lo tanto, la formación en ciberseguridad es una inversión sólida para proteger su empresa y sus operaciones.

Supervisar la evolución normativa

Manténgase informado:Manténgase informado sobre las actualizaciones de la Orden Ejecutiva y otras políticas relevantes de ciberseguridad.
Contrate asesoramiento legal:consulte a expertos legales y en materia de cumplimiento normativo para evaluar el impacto potencial de los cambios en las políticas sobre las operaciones de su empresa.

Invertir en tecnologías avanzadas de ciberseguridad

Explore las soluciones de IA:aproveche las herramientas de IA para predecir amenazas, identificar anomalías y automatizar las respuestas a incidentes.
Transición a la criptografía resistente al quantum:Comience a planificar actualizaciones criptográficas para proteger los datos confidenciales frente a las amenazas emergentes.
Colaborar con otros profesionales del sector:Participar en foros y consorcios para intercambiar buenas prácticas y establecer protocolos de ciberseguridad estandarizados.

Asegurar la cadena de suministro

Evaluar los riesgos de los proveedores:Realizar evaluaciones exhaustivas de ciberseguridad de los proveedores y socios externos.
Desarrollar planes de redundancia:Identificar las dependencias críticas de la cadena de suministro y desarrollar planes de contingencia para mitigar posibles interrupciones.
Cifrar las comunicaciones:Proteger las transferencias de datos a lo largo de toda la cadena de suministro para minimizar el riesgo de interceptación.

Elaborar planes sólidos de respuesta ante incidentes

Establecer protocolos integrales:Desarrollar planes de respuesta a incidentes adaptados a las amenazas específicas de la industria manufacturera, como los ataques de ransomware a los sistemas de producción. En la Guía de preparación contra el ransomware: prevención, mitigación y recuperación para fabricantes de CyManII se puede encontrar un ejemplo de orientación y plantilla para la industria.
Formar a los empleados:Impartir formación continua en materia de ciberseguridad para mejorar la concienciación y minimizar los errores humanos.
Probar y perfeccionar los planes:Realizar simulaciones periódicas para evaluar la eficacia de las estrategias de respuesta e implementar los ajustes necesarios.

Reflexiones finales

La «Orden ejecutiva sobre el fortalecimiento y la promoción de la innovación en la ciberseguridad nacional» destaca la urgente necesidad de adoptar medidas sólidas de ciberseguridad, especialmente en el sector manufacturero, que es vital para la seguridad nacional, la estabilidad económica y la competitividad global. Este sector se enfrenta a un número cada vez mayor de amenazas sofisticadas, como ataques de ransomware, vulnerabilidades en la cadena de suministro y robo de propiedad intelectual. Aunque el futuro de la orden ejecutiva bajo la administración Trump es incierto, los fabricantes no pueden permitirse retrasar la adopción de medidas. Los ciberataques a los fabricantes seguirán aumentando en volumen y sofisticación en los próximos años. Las medidas proactivas, como la implementación de tecnologías de seguridad avanzadas, el refuerzo de las defensas de la cadena de suministro y el seguimiento de los cambios normativos, son esenciales para mitigar los riesgos y garantizar la continuidad operativa.

Además, el cumplimiento de estrictas normas de ciberseguridad permite a los fabricantes obtener contratos federales, generar confianza entre las partes interesadas y obtener una ventaja competitiva en el mercado. Dado que los posibles cambios en la Orden Ejecutiva podrían dar lugar a un panorama normativo fragmentado, que abarca los ámbitos federal, estatal e internacional, los fabricantes deben prepararse para cumplir diversos requisitos de conformidad. Al dar prioridad a la ciberseguridad, el sector manufacturero no solo protege sus activos y procesos críticos, sino que también refuerza su papel fundamental en el impulso del crecimiento económico y la innovación tecnológica.

Acerca de CyManII

Lanzado en 2020 por el Departamento de Energía de los Estados Unidos, CyManII trabaja con la industria manufacturera, instituciones académicas y de investigación, y agencias gubernamentales federales para desarrollar tecnologías que permitan la seguridad y el crecimiento del sector manufacturero estadounidense. Foley & Lardner es actualmente miembro de CyManII.

Se puede encontrar información adicional sobre los riesgos de ciberseguridad a los que se enfrentan los fabricantes en artículos anteriores escritos por Foley & Larder y CyManII, entre los que se incluyen:

Recomendaciones para gestionar las amenazas a la ciberseguridad en el sector manufacturero

¿Cree que la ciberseguridad es solo un centro de costes? Piénselo de nuevo.

Autores

Socio

312.832.4367

Howard Grimes, director ejecutivo del Instituto de Innovación en Ciberseguridad para la Industria Manufacturera.

Director ejecutivo
Instituto de Innovación en Ciberseguridad y Fabricación

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

Orden ejecutiva sobre ciberseguridad: implicaciones clave para la industria manufacturera

Disposiciones clave del decreto ejecutivo y su impacto en la industria manufacturera

Posibles cambios bajo la administración Trump

Guía para empresas manufactureras

Reflexiones finales

Acerca de CyManII

Autores

Aaron Tantleff

Howard Grimes

Información relacionada

The Auto Industry’s Talent War: Winning the Race for Skilled Workers

Actualización de Foley Automotive

Fabricado en China: lo que la industria automotriz debe saber sobre el auge mundial de la fabricación china de vehículos conectados en medio de las crecientes restricciones estadounidenses.