EN RESUMEN:
El gobernador Newsom aún tiene que nombrar a un comandante encargado de informar a las empresas y a los gobiernos sobre las amenazas a la ciberseguridad.
Read this story in English
Se podría pensar que la casa de Silicon Valley se apresuraría a contratar a un jefe de ciberseguridad, pero estaría equivocado: California ha dejado vacante su puesto más alto en ciberseguridad durante casi dos años.
Un portavoz dijo que no existe un cronograma actual para que el gobernador Gavin Newsom nombre a nadie para el puesto de comandante del Centro de Integración de Ciberseguridad.
“Somos un objetivo”, como líder de la industria tecnológica, el estado más poblado del país, uno de los puertos más activos del mundo y la quinta economía más grande del mundo, dijo el ex comandante del centro de integración de ciberseguridad Jonathan Núñez en un video publicado en YouTube hace dos años. Asumió el mando en junio de 2020 y fue el último comandante designado por Newsom, dejando el cargo en junio de 2022.
Los funcionarios estatales dicen que la vacante no ha obstaculizado la capacidad del estado para responder a las amenazas, pero a los expertos fuera del gobierno estatal les preocupa que un comandante en funciones esté disperso.
El trabajo de comandante implica ayudar a las agencias policiales con investigaciones criminales y salvaguardar la economía y la infraestructura crítica de California. Otras tareas laborales incluyen mantener un centro de operaciones de seguridad que difunda información procesable a todas las entidades estatales, formar asociaciones públicas y privadas y desarrollar una estrategia estatal de ciberseguridad. El comandante recibe un salario de hasta 187,000 dólares al año.
El desafío de un puesto como comandante de seguridad cibernética es que no es una cuestión de interés público o de los medios hasta que algo sale mal, dijo Dan Schnur, ex portavoz del gobernador Pete Wilson, quien ahora enseña comunicación política en la Universidad del Sur de California y la Universidad de California, Berkeley. No hay un cronograma establecido para los nombramientos y depende casi por completo de la urgencia de cubrir el puesto y la calidad de los solicitantes, pero según su experiencia, tomar más de un año para nombrar es una cantidad de tiempo inusualmente larga.
“O están pasando por un proceso minucioso para elegir a la persona adecuada o se les pasó por alto y no hay manera de saber cuál de las dos es”, dijo. “A menos que encuentres un unicornio que esté dispuesto a renunciar a ese tipo de compensación financiera a cambio de un servicio público, ya estás comenzando con un compromiso”.
Ha habido cuatro comandantes de tiempo completo antes del actual comandante interino.
Keith Tresh fue designado por el exgobernador Jerry Brown y actuó como comandante de 2016 a 2018. Ahora es director de seguridad de la información en la consultora AMEG. Mario García se desempeñó como comandante interino de 2018 a 2020 y ahora trabaja como coordinador estatal de la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional de EE. UU. Jonathan Núñez fue designado por el gobernador Newsom en 2020 y ahora trabaja como analista en la consultora Gartner. David Lane se desempeñó como comandante interino durante un período de tiempo no especificado en 2022. El subdirector de seguridad nacional, Tom Osbone, también es el comandante interino.
Tresh anteriormente se desempeñó como director de seguridad de la información para los estados de California e Idaho y fue el primer comandante del Centro de Integración de Ciberseguridad. Dijo que aprovechó la oportunidad porque el trabajo actúa como un segundo par de ojos para instituciones públicas como los gobiernos de ciudades y condados, no solo para el estado de California.
“Ayudamos a los distritos escolares y a las autoridades regionales de tránsito cuando cometieron infracciones”, dijo. “Por eso creo que es una posición absolutamente perfecta para continuar”.
Los ciberataques a instituciones públicas como gobiernos locales, hospitales y distritos escolares están en aumento. Los hospitales y proveedores de atención médica aún se están recuperando de un ataque de ransomware que afectó el procesamiento de pagos de Change Healthcare, que procesa aproximadamente la mitad de todos los reclamos y pagos de atención médica en todo el país.
El Centro de integración de ciberseguridad recibe informes cuando un distrito escolar, agencia estatal o empresa privada sufre una violación de datos. El centro también recibe informes de amenazas de agencias federales como la Oficina Federal de Investigaciones, la Agencia de Seguridad de Infraestructura y Ciberseguridad y el Departamento de Seguridad Nacional.
El exgobernador Jerry Brown creó la agencia de ciberseguridad en 2015 para operar dentro de la Oficina de Servicios de Emergencia del gobernador. Trabaja con el Departamento de Tecnología para investigar e informar incidentes y ayuda a restaurar las operaciones después de un ataque. La directora Liana Bailey-Crimmins dijo a CalMatters en una entrevista en febrero que su agencia trabaja en estrecha colaboración con la oficina de servicios de emergencia para abordar las necesidades del estado mientras cubren puestos clave para que nunca pierdan un paso.
Un portavoz de la Oficina de Servicios de Emergencia del gobernador dijo que Osborne se desempeña como comandante interino mientras el gobernador lleva a cabo una búsqueda a nivel nacional de un candidato calificado.
En el transcurso del mes pasado, CalMatters solicitó repetidamente detalles sobre los informes de violación de datos y el cumplimiento de deberes adicionales asignados al comandante y al centro de integración de ciberseguridad según un plan quinquenal de ciberseguridad aprobado en 2021, pero no recibió ningún comentario.
La última vez que el estado compiló un informe que detalla los tipos de violaciones de datos, la cantidad de registros comprometidos y la cantidad de californianos afectados por ataques cibernéticos fue en 2016, antes de que existiera el centro de integración de ciberseguridad.
CalMatters contactó a la oficina del Fiscal General Rob Bonta para obtener el último informe sobre violación de datos. La oficina del fiscal general remitió a CalMatters al centro de ciberseguridad, que no compartió nueva información pero dijo que publicaría nuevos datos más adelante “esta primavera”.
Después de que las auditorías descubrieran que las agencias estatales lamentablemente no estaban preparadas para los ataques cibernéticos, la asambleísta de California Jacqui Irwin, demócrata de Thousand Oaks, fue coautora de una ley de 2018 que convirtió al Centro de Integración de Ciberseguridad en una agencia estatal permanente y requirió el desarrollo de una estrategia estatal de ciberseguridad. Irwin, quien también es presidente del comité de ciberseguridad de la Asamblea, dijo a CalMatters en un comunicado que encontrar un nuevo comandante no ha sido fácil.
“El estado ha tenido dificultades para reclutar y retener especialistas en ciberseguridad, tal como lo han hecho muchas empresas, cuyas habilidades tienen una gran demanda”, dijo.
Competencia con el sector privado
Ex empleados estatales de ciberseguridad dijeron a CalMatters que creen que es difícil para el centro de ciberseguridad mantener a los comandantes porque el salario es menor que el de trabajos similares en el sector privado. Los empleados estatales pueden tratar a un comandante interino, que estará en el puesto temporalmente, de manera diferente a un comandante designado por Newsom.
Un ex empleado del centro de ciberseguridad que habló con CalMatters en segundo plano por temor a represalias profesionales dijo que el mayor problema con el puesto es la falta de autoridad real; el comandante tiene una capacidad limitada para actuar y responsabilizar a la gente.
Las agencias públicas, especialmente en California, son objetivos importantes para los ciberdelincuentes que buscan información confidencial o simplemente quieren causar pánico, dijo Steven Ward, miembro de ciberseguridad del grupo de expertos de centro derecha R Street Institute y ex examinador forense digital de agencias policiales en Sacramento.
Ward dijo que la vacante refleja una serie de tendencias: primero, el panorama de amenazas a la ciberseguridad avanza rápidamente y las agencias públicas se mueven lentamente. En segundo lugar, refleja una mayor escasez de mano de obra en ciberseguridad. California tiene el segundo más alto en los EE. UU., según un informe de 2022 del Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, una organización sin fines de lucro.
En tercer lugar, las agencias públicas no pueden competir con los salarios y beneficios que ofrecen las empresas privadas. Otro estudio de 2022 encontró que el sector privado paga un 14% más que las agencias gubernamentales. La brecha salarial crea una situación en la que los empleados de nivel inicial son responsables de proteger sistemas altamente sensibles. Es difícil decir cuáles son las consecuencias de la vacante, pero dado que el centro desarrolla la estrategia estatal de ciberseguridad y es un centro para compartir información sobre amenazas de ataques y cómo parchear vulnerabilidades, Ward dijo que le preocupa que el director interino pueda estar demasiado disperso.
“Definitivamente hay que llenarlo”, dijo. “Es importante que este tipo de trabajo continúe sin interrupciones”.
