La orden ejecutiva de seguridad cibernética de Trump es un buen comienzo.

0
439

Una importante noticia sobre ciberseguridad estalló la semana pasada, aunque casi fue opacada por la noticia sobre el despido del presidente Trump del director del FBI, James Comey.

Hay dos puntos sobresalientes con respecto a la orden ejecutiva del Presidente Trump (OE), en la que se esbozan planes para mejorar la seguridad de los datos para las agencias federales y para mejorar la protección de la infraestructura informática clave de los Estados Unidos.

En primer lugar, este desarrollo fue realmente importante: un llamamiento serio a la acción para reforzar las medidas gubernamentales de ciberseguridad en un momento en el que lo ataques cibernéticos  dominan los titulares y las crecientes preocupaciones acerca de una futura ciberguerra entre los estados-nación son legítimas. En segundo lugar, si bien este paso de la rama ejecutiva era absolutamente necesario, es insuficiente. Es necesario ir mucho más lejos.

El llamado de la orden ejecutiva a que las agencias del gobierno federal -especialmente las agencias civiles- busquen oportunidades para compartir la tecnología cibernética tiene mucho sentido.

¿Por qué enfocarse en trabajar independientemente, como áreas ajenas a las otras?  Eventualmente, esto significaría un desastre. La computación basada en la nube, en compartir la información y los marcos de seguridad disponibles hoy en día hacen un enfoque holístico eminentemente posible.

Los marcos de seguridad de datos se superpondrían en la parte superior del marco de la nube de modo que los datos puedan ser compartidos mientras estén encriptados. Las agencias individuales podrían entonces basarse en este marco para cualquier número de necesidades únicas.

Si bien es cierto que  los departamentos  del gobierno tienen diversos grados de pericia, recursos y sofisticación y es probable que se apoyen del contra-argumento de que deben permanecer en gran medida siendo áreas independientes. Pero la seguridad es tan fuerte como el eslabón más débil de la red. Si se trata, los adversarios encontrarán y explotarán ese vínculo. En una corporación grande, los requisitos de la tecnología de la información no se dejan a cada función o departamento. ¿Por qué el gobierno debe ser diferente?

Necesitamos un mecanismo en el que los expertos en seguridad cibernética de las agencias de inteligencia estadounidenses puedan compartir parte de sus conocimientos con las industrias estadounidenses, sin revelar demasiada información.

Los expertos encargados de enfrentar ataques cibernéticos altamente sofisticados en la NSA y en otras instituciones, necesitan ser parte de la solución a este problema. Esta experiencia también podría ser utilizada para crear un «banco de infraestructura de seguridad cibernética», un banco que prestaría fondos gubernamentales a pequeñas empresas de servicios públicos, plantas de agua y similares para ayudarles a actualizar rápidamente sus defensas cibernéticas.

Debemos reconocer dónde tiene lugar la mayor parte de la innovación cibernética (en pequeñas empresas privadas de seguridad cibernética) y tomar medidas para ayudar al gobierno a adquirir tecnología y servicios de estas empresas.

Hoy en día, el gobierno compra principalmente servicios a  grandes cyber vendedores e integradores, muchos de los cuales no venden productos y servicios de última tecnología. El gobierno debe reestructurar las políticas de adquisición para atraer más sangre innovadora al juego. Comprar la solución de ayer para defenderse de los desafíos y las amenazas del mañana es una pérdida de tiempo y dinero y no nos hace más seguros.

El gobierno debe dejar de comprar tecnología cibernética y equipo relacionado de fuentes extranjeras. Ataques cibernéticos de los gobiernos rusos y chinos contra los EE.UU., por ejemplo, ayudan a ilustrar, que es simplemente demasiado arriesgado.

El gobierno ya lo hace en cierta medida, pero es necesario hacer más.  En consecuencia, la compañía de origen Chino, Huawei Technologies, el fabricante de equipos de telecomunicaciones más grande del mundo, tiene prohibida la venta de sus equipos en Estados Unidos, y por buenas razones. Según informes, la compañía es controlada, en gran parte, por el Ejército Popular de Liberación de China. Actualmente está en discusión en el Congreso, prohibir a la empresa de ciberseguridad rusa Kaspersky Lab de hacer negocios en los EE.UU.

La preocupación es lógica. La confianza es un requisito fundamental en la selección de proveedores. Tal vez Kaspersky no ha hecho nada malo. Pero ¿por qué no cambiar a un competidor de todos modos? Sabemos que Rusia está participando en actividades amenazadoras, y existen pruebas de que Rusia colabora con empresas privadas de seguridad rusas.

La semana pasada, un incidente en una audiencia del Comité de Inteligencia del Senado lo hizo evidente. Los jefes de seis agencias de inteligencia, fueron consultados   por el senador Marco Rubio (R-Florida) sobre si se sentirían cómodos usando el software de Kaspersky, todos dijeron rotundamente que no. Estas agencias incluyeron la CIA, la NSA y el FBI.
La infraestructura estadounidense, incluida la red eléctrica, es demasiado vulnerable a los ataques cibernéticos. Los sistemas fueron diseñados para ser funcionales, no necesariamente seguros, y eso es inaceptable.

El planteamiento de una estrategia en tres frentes puede empezar a subsanar los problemas:

1) El gobierno debe definir un nivel de resistencia cibernética esperada y producir una metodología para protegerlo

2) Debemos crear un centro de compensación para la implementación de las mejores prácticas en seguridad de la red

3) Debemos formar un banco industrial para proporcionar financiamiento a largo plazo a los servicios públicos que lo necesiten para ayudar a implementar sistemas de seguridad cibernética

Es importante enfrentar la realidad de que muchas pequeñas empresas de servicios públicos hoy en día carecen de los recursos financieros y técnicos necesarios para ser seguras.

La orden ejecutiva del Presidente Trump establece un plazo de 90 días para que cada agencia del poder ejecutivo presente un informe de gestión de riesgos, describa sus medidas de seguridad y lo que se consideran riesgos significativos.

También solicita un estudio para determinar si algunas agencias pueden adoptar realistamente arquitecturas de red consolidadas.

La fecha límite sería a finales de verano. Esperemos que se logren progresos significativos para entonces, y que los informes difundidos estén asegurados, y no sean un informe visible de nuestras vulnerabilidades. Una importante solución profunda está todavía a años de distancia. Pero es necesario empezar por alguna parte. Como Mark Twain escribió:  «El secreto para salir adelante es empezar”

DEJA UNA RESPUESTA

¡Por Favor deje su comentario!
Por favor ingrese su nombre