{"id":1133,"date":"2026-06-09T17:02:54","date_gmt":"2026-06-09T17:02:54","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/09\/cisa-esta-reconsiderando-como-prioriza-los-riesgos-y-vulnerabilidades-para-los-federales-y-el-sector-privado\/"},"modified":"2026-06-09T17:02:54","modified_gmt":"2026-06-09T17:02:54","slug":"cisa-esta-reconsiderando-como-prioriza-los-riesgos-y-vulnerabilidades-para-los-federales-y-el-sector-privado","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/09\/cisa-esta-reconsiderando-como-prioriza-los-riesgos-y-vulnerabilidades-para-los-federales-y-el-sector-privado\/","title":{"rendered":"CISA est\u00e1 reconsiderando c\u00f3mo prioriza los riesgos y vulnerabilidades para los federales y el sector privado"},"content":{"rendered":"
\n

La Agencia de Infraestructura y Ciberseguridad quiere reevaluar fundamentalmente c\u00f3mo prioriza los riesgos y vulnerabilidades, tanto para la infraestructura cr\u00edtica de propiedad privada como dentro del gobierno federal, dijo el martes el director interino Nick Andersen.<\/p>\n

Los planes incluyen una directiva operativa vinculante para las agencias federales que se publicar\u00e1 el mi\u00e9rcoles y ser\u00e1n m\u00e1s espec\u00edficas con los propietarios y operadores de infraestructura cr\u00edtica sobre qu\u00e9 activos necesitan proteger m\u00e1s y c\u00f3mo, dijo Andersen mientras hablaba en un evento organizado por Axonius en Washington, DC y luego hablaba con periodistas.<\/p>\n

La directiva operativa vinculante busca revisar c\u00f3mo las agencias federales manejan la vulnerabilidad, dijo. \u00abEn general, nuestro enfoque hasta la fecha ha sido 'Se lanza un parche, apl\u00edquelo lo m\u00e1s r\u00e1pido que pueda'\u00bb, dijo.<\/p>\n

\u00abRealmente estamos pidiendo a la gente que se centre m\u00e1s en el riesgo asociado con cada vulnerabilidad. \u00bfSe trata de un activo que est\u00e1 expuesto a Internet? \u00bfSe alinea con una entrada KEV?\u00bb dijo, refiri\u00e9ndose a la lista de vulnerabilidades explotadas conocidas de CISA. \u00ab\u00bfEs automatizable su explotaci\u00f3n? Realmente, necesitamos ser capaces de resaltar que algunos parches simplemente no son tan importantes como otros, y tapar los agujeros para algunas vulnerabilidades simplemente no es tan importante como otros\u00bb.<\/p>\n

Andersen dijo que el foco de su mandato ha sido establecer las prioridades correctas.<\/p>\n

\u00abTenemos que aceptar decir que hay algunos sistemas que son menos importantes que otros, que hay algunos elementos de infraestructura cr\u00edtica que son menos importantes que otros\u00bb, dijo. \u201cPara nosotros es muy f\u00e1cil racionalizar esas cosas. [for] \u00abLas crisis f\u00edsicas, pero tenemos que empezar a pensar en c\u00f3mo vamos a hacerlo durante las crisis cibern\u00e9ticas\u00bb.<\/p>\n

Andersen dijo que las amenazas mejoradas por la inteligencia artificial han impulsado la directiva en parte, bas\u00e1ndose en \u00abel reconocimiento de que somos un entorno din\u00e1mico diferente con un cronograma m\u00e1s corto para la utilizaci\u00f3n de armas y la explotaci\u00f3n\u00bb, pero las discusiones sobre la directiva se han prolongado durante meses, antes de los llamativos anuncios sobre los modelos fronterizos de inteligencia artificial y los riesgos que podr\u00edan profundizarse. La directiva del mi\u00e9rcoles no tiene relaci\u00f3n con la orden ejecutiva centrada en la IA publicada por la administraci\u00f3n Trump la semana pasada.<\/p>\n

La idea de priorizar ciertos objetivos potenciales de pirater\u00eda sobre otros no es nueva en la infraestructura cr\u00edtica, con conceptos como designaciones de \u201cSecci\u00f3n 9\u201d bajo una orden ejecutiva de 2013 para entidades sobre las cuales un ataque podr\u00eda tener efectos catastr\u00f3ficos; designaciones de \u201cinfraestructura cr\u00edtica de importancia sist\u00e9mica\u201d, seg\u00fan lo recomendado por la Comisi\u00f3n del Solarium del Ciberespacio; o la creaci\u00f3n del Centro Nacional de Gesti\u00f3n de Riesgos establecido durante el primer mandato del presidente Donald Trump pero ahora objeto de recortes presupuestarios propuestos<\/a>.<\/p>\n

Andersen dijo que los conceptos anteriores no han funcionado bien y cit\u00f3 como ejemplo las designaciones de la Secci\u00f3n 9.<\/p>\n

\u201cNos sent\u00e1bamos aqu\u00ed y dec\u00edamos: 'Felicitaciones, usted est\u00e1 en esta empresa y es una entidad de la Secci\u00f3n 9, \u00bfno es fant\u00e1stico?'\u201d, dijo. \u00abEse no es realmente el nivel de fidelidad al que debemos poder llegar para tener una conversaci\u00f3n real y mensurable sobre el riesgo. Necesito poder ir a una empresa y decir: 'Aqu\u00ed est\u00e1 la funci\u00f3n espec\u00edfica que est\u00e1s apoyando y que te hace m\u00e1s cr\u00edtico. Tengamos una conversaci\u00f3n sobre los activos espec\u00edficos que respaldan esa funci\u00f3n, y \u00bfc\u00f3mo llegamos a un nivel mensurable de resiliencia para esos activos?'\u00bb<\/p>\n

Esas discusiones deben llegar a un \u201cgrano fino\u201d, dijo Andersen.<\/p>\n

\u00abSi tengo un banco importante con el que estoy hablando, \u00bfes tan importante para m\u00ed que el proceso del banco que respalda el sistema de pagos masivos sea resistente, o es igualmente importante para m\u00ed que la sucursal a dos cuadras de distancia siga funcionando?\u00bb dijo. \u00abEsas cosas son simplemente manzanas y naranjas, aunque es la misma entidad la que podr\u00eda verse afectada\u00bb.<\/p>\n

Las capacidades de CISA bajo la administraci\u00f3n Trump han sido objeto de un escrutinio considerable, dados los profundos recortes presupuestarios en la agencia, y se planean m\u00e1s. La administraci\u00f3n ahora est\u00e1 tomando medidas para contratar personal nuevamente.<\/p>\n

Andersen dijo que la agencia est\u00e1 trabajando para contratar a 329 personas y que tendr\u00e1 ofertas de trabajo para 182 de ellas a finales de junio. Dijo que el \u00e9nfasis del primer tramo de contrataciones bajo el sprint de contrataci\u00f3n son las capacidades operativas, es decir, \u00e1reas como comunicaciones de emergencia, seguridad de infraestructura y personal regional.<\/p>\n

La agencia tambi\u00e9n ha visto parte de su trabajo obstaculizado por los cierres gubernamentales, como el retraso en los planes para reuniones p\u00fablicas sobre la implementaci\u00f3n de la Ley de Informe de Incidentes Cibern\u00e9ticos para Infraestructuras Cr\u00edticas de 2022, que requerir\u00e1 que los propietarios y operadores clave informen incidentes importantes dentro de las 72 horas.<\/p>\n

Andersen dijo que no pod\u00eda fijar una fecha para la finalizaci\u00f3n de las regulaciones relacionadas con la ley, que ya se hab\u00edan retrasado antes de que se agotara el financiamiento, ya que esas asambleas p\u00fablicas ahora est\u00e1n programadas para comenzar. la pr\u00f3xima semana<\/a>.<\/p>\n

\u201cPodr\u00edamos recibir muchos comentarios y realmente cambiar radicalmente nuestra forma de pensar sobre cu\u00e1l es la necesidad aqu\u00ed\u201d, dijo. \u00abPero nuestro enfoque se centra simplemente en cu\u00e1l es la intenci\u00f3n original del Congreso detr\u00e1s de CIRCIA. cu\u00e1l es la mayor necesidad que podremos satisfacer y c\u00f3mo podremos promover la misi\u00f3n que tenemos para la naci\u00f3n\u00bb.<\/p>\n