Ley de intercambio de información sobre ciberseguridad (CISA)

La Ley de Intercambio de Información sobre Ciberseguridad (CISA) es una legislación propuesta que permitirá a las agencias gubernamentales y entidades no gubernamentales de los Estados Unidos compartir información entre sí mientras investigan ciberataques. Compartir es voluntario para las organizaciones participantes fuera del gobierno.

Actualmente, varios marcos regulatorios estadounidenses impiden el intercambio. Por ejemplo, si un hospital en los Estados Unidos fuera atacado, los administradores del hospital podrían no compartir información con agencias gubernamentales debido a restricciones de privacidad en la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).

Según CISA, el Director de Inteligencia Nacional y los departamentos federales de Seguridad Nacional, Defensa y Justicia deben trabajar juntos y desarrollar procedimientos para compartir información sobre amenazas a la seguridad cibernética. norteSe requerirá que las entidades federales eliminen la información personal antes de compartir indicadores de amenazas cibernéticas, y el Departamento de Seguridad Nacional (DHS) deberá realizar una revisión de privacidad de la información recibida.

A quienes se oponen a la legislación les preocupa que el gobierno federal abuse de la forma en que utiliza la información que recopila. En el momento de redactar este documento, el gobierno solo puede utilizar la información compartida para:

  • Identificar un propósito de ciberseguridad.
  • Identifique la fuente de una amenaza de seguridad cibernética o una vulnerabilidad de seguridad.
  • Identificar las amenazas a la seguridad cibernética que involucran el uso de un sistema de información por parte de un adversario o terrorista extranjero.
  • Prevenir o mitigar una amenaza inminente de muerte, lesiones corporales graves o daños económicos graves, incluido un acto terrorista o el uso de un arma de destrucción masiva.
  • Prevenir o mitigar una amenaza grave para un menor, incluida la explotación sexual y las amenazas a la seguridad física.
  • Prevenir, investigar, interrumpir o enjuiciar un delito que surja de una amenaza, como delitos graves violentos o relacionados con el fraude y el robo de identidad.