Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Las contribuciones de la estrategia nacional de ciberseguridad del sector privado faltan

El gobierno de EE. UU. Ha sido muy público sobre su preocupación por la ciberseguridad nacional. Ha habido grandiosos discursos, declaraciones presidenciales y varios intentos de la legislatura de aprobar leyes de ciberseguridad. Pero el problema con la estrategia nacional de ciberseguridad de Estados Unidos es más grande que los ataques o robos de datos puntuales. Los crímenes perpetrados por personas como Edward Snowden, Chelsea Manning y las personas que cometieron la supuesta filtración de las herramientas de guerra cibernética altamente sensibles de la CIA han resultado en pérdidas alucinantes.

Más allá de esos titulares, hay un problema que recibe menos atención pero plantea un riesgo significativo para los activos nacionales críticos: el hecho de que las empresas del sector privado operan, pero no protegen adecuadamente, una gran mayoría de la infraestructura y los datos críticos del país.

El gobierno federal, e incluso las empresas más grandes del sector privado, gastan miles de millones en inversiones en ciberseguridad, pero no logran extender esos esfuerzos a las pymes que hacen gran parte del trabajo preliminar. Se promulgan leyes que prometen proteger la información gubernamental sensible y los sistemas «críticos», pero las regulaciones están ajustadas para trabajar para la comunidad empresarial, neutralizando efectivamente los mecanismos de aplicación. Hasta que existan ramificaciones reales para las fallas de seguridad cibernética en las entidades gubernamentales y del sector privado que apoyan al gobierno, seguiremos viendo cómo se erosiona la seguridad nacional.

Las empresas privadas deben ser responsables del interés público e implementar precauciones para minimizar las fallas de seguridad que potencialmente socavan la defensa nacional.

Considere, por ejemplo, las consecuencias de un informe de 2013 que descubrió que los diseños de algunos de los sistemas de armas estadounidenses más sensibles y avanzados fueron pirateados por un país extranjero. Aunque es un problema grave que esos sistemas de armas ahora estén comprometidos y probablemente hayan sido duplicados por al menos un ejército extranjero, no hay señales de ningún castigo para las empresas privadas que permitieron el robo en el lugar. De hecho, las empresas y sus subcontratistas que fabricaron los sistemas robados se beneficiarán en última instancia del espionaje: hay un número limitado de contratistas principales que pueden realizar este trabajo, por lo que las empresas a las que les robaron los sistemas probablemente construirán sistemas de reemplazo. , si aún no lo han hecho. No hay evidencia de que los contratistas hayan perdido el trabajo o hayan pagado por su falla. Hasta que el costo de la falla sea mayor que la implementación de tecnología de seguridad real, seguiremos viendo malas decisiones que nos llevarán a fallas en ciberseguridad.

Falta de responsabilidad cibernética del sector privado

Escribí sobre el potencial de un Día D digital en 2005, luego nuevamente en 2012. En los años posteriores, lamentablemente no hemos avanzado mucho en el avance de la protección cibernética de nuestros sistemas más importantes. Seguimos permitiendo que el sector privado decida qué activos son críticos y cómo deben protegerlos. Esto es cierto incluso cuando su producto, servicio o infraestructura tiene un papel directo en nuestra estrategia nacional de ciberseguridad y la continuidad operativa del gobierno de EE. UU.

Las empresas privadas deben ser responsables del interés público e implementar precauciones para minimizar las fallas de seguridad que potencialmente socavan la defensa nacional. Los profesionales de la ciberseguridad que dan fe de la seguridad falsamente deben rendir cuentas de la misma manera que los ejecutivos de negocios son responsables cuando sus empresas violan las regulaciones financieras.

Pero la realidad es que la falta de recursos dentro de las empresas privadas, combinada con la falta de aplicación seria del gobierno, conduce a poca acción constructiva. Mientras los EE. UU. Continúen aceptando las ofertas más bajas y / o proveedores de fuente única en la contratación del gobierno sin una consideración seria por su higiene cibernética, no veremos cambios.

Los costos de la inversión en ciberseguridad

En defensa de los contratistas, creo que las empresas deberían poder incluir onerosos gastos de seguridad al presentar ofertas. La seguridad debe recompensarse como una ventaja competitiva y en interés de la seguridad nacional.

Pero si se descubre que un postor no ha iniciado las protecciones que atestiguó, debe ser penalizado. ¿Cómo no se considera negligencia criminal la falta de protección de los secretos nacionales de EE. UU. Al no cumplir con los requisitos mínimos de ciberseguridad y, en algunos casos, al cometer negligencia deliberada y flagrante?

Según el Reglamento sobre tráfico internacional de armas (ITAR), uno puede ser condenado a una década de prisión por exportar ilegalmente tecnología de defensa. Las penas por infracciones de exportación van desde sanciones penales de «hasta $ 1 millón por infracción y hasta 10 años de prisión» y por infracciones civiles «incautación y decomiso de artículos, revocación de privilegios de exportación» con multas de hasta $ 500.000 por infracción. Un profesor de Tennessee recibió 14 meses de prisión por «exportar tecnología militar» cuando enseñó a estudiantes extranjeros sobre información que el profesor ni siquiera sabía que estaba protegida. En su caso, el fiscal federal adjunto dijo: «El tiempo de prisión es apropiado para evitar la apariencia de una mera palmada en la muñeca por un delito tan grave que involucra la seguridad nacional». Un mero accidente por parte de este profesor es un crimen severo a los ojos del gobierno, pero una violación cibernética que resulta en el robo de docenas de nuestro sistema de armas más importante resulta en ninguna acción. Debemos tratar la negligencia deliberada de la higiene de la seguridad cibernética que resulta en violaciones a la seguridad nacional por parte de países extranjeros como violaciones a las exportaciones también.

Como profesional de la ciberseguridad, sé que no existe la ciberseguridad infalible: la perfección no se puede lograr, e incluso una gran postura defensiva puede no ser suficiente contra un actor determinado. Todas las organizaciones enfrentan el desafío del costo y la distracción de los requisitos de ciberseguridad, pero es posible que no estén haciendo lo suficiente porque, francamente, simplemente no se sienten obligadas a hacer un esfuerzo real cuando se trata de ciberseguridad.

Por ejemplo, algunas organizaciones se encuentran bajo restricciones de precios tan estrictas que las medidas de seguridad realistas simplemente no son posibles. Para sobrevivir, estas organizaciones deben apostar por esta falta de seguridad y esperar que nunca sean un objetivo de piratería, o incluso auditadas. Otras organizaciones simplemente carecen lamentablemente de sus obligaciones de seguridad, y otras tratan sinceramente de comprender estas obligaciones, pero no lo consiguen.

Los siguientes pasos

Por diseño, las leyes y regulaciones de ciberseguridad de EE. UU. Son ambiguas y flexibles. Esta flexibilidad, si bien está destinada a facilitar el cumplimiento por parte de las organizaciones, realmente lo hace mucho más difícil al no especificar, en términos claros, lo que realmente deben hacer las organizaciones del sector privado. Debemos insistir en que las empresas del sector privado trabajen para volverse seguras y luego ayudarlas a tomar las medidas necesarias para impulsar la estrategia nacional de ciberseguridad.

Si bien no propongo apresurarnos a tomar acciones al azar, no debemos limitarnos a cumplir. Deberíamos empezar por:

  • realizar las mejoras de infraestructura propuestas por la actual administración, y dar prioridad a la seguridad, la ciberseguridad y la resiliencia;
  • definir más claramente los requisitos de inversión en ciberseguridad para las industrias que directa y sustancialmente forman parte de la infraestructura crítica;
  • averiguar dónde pueden cooperar los equipos de seguridad física y lógica para que podamos aprovechar las habilidades y los presupuestos combinados;
  • concesión de créditos fiscales completos para inversiones en ciberseguridad realizadas por pymes; y
  • cortar aquellos que se niegan a cumplir con los mandatos de ciberseguridad y hacer esfuerzos razonables para asegurar los sistemas que son responsables de administrar.

Con cada administración hay un compromiso renovado y directivas de ciberseguridad renovadas que no resultan en nada de importancia. Ha habido un enfoque renovado de la seguridad cibernética a medida que los actores extranjeros muestran sus cartas, por lo que es hora de que hagamos algo impactante. La conclusión es que nos estamos quedando sin tiempo antes de que las amenazas de ciberseguridad a nuestra infraestructura crítica resulten en un ataque catastrófico real. El tiempo para la acción es ahora.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  Tiempo de calidad: calidad de software de búsqueda

También te puede interesar...

Identificar y prepararse para problemas de seguridad 5G

5G se convertirá en un elemento central de la economía digital global. Sin embargo, las características que hacen que 5G sea atractivo, como una infraestructura compartida, también lo convierten en un riesgo para la seguridad.

El viejo truco todavía mata a Windows persistente.

En noviembre pasado, escribí sobre la eliminación forzada Windows.old desde una de mis PC. Me encontré nuevamente con lo mismo hoy, y me complació poner esa información en funcionamiento una vez más. Como sucede a

Qué considerar antes de implementar NSX

El mercado SDN ha ganado terreno a lo largo de los años, pero algunas organizaciones han tenido problemas para implementar la tecnología. Los problemas tienden a provenir de problemas administrativos más que técnicos, pero las

Cómo implementar dispositivos gráficos con Hyper-V DDA

Windows Server 2016 ahora incluye la capacidad de realizar asignaciones discretas de dispositivos en su conjunto de funciones, una función que permite a los administradores de TI asignar máquinas virtuales directamente a un dispositivo Peripheral

Vigile su nube pública con AWS CloudTrail

Las empresas saben que es fundamental vigilar de cerca los recursos, incluido quién tiene acceso a qué. Sin embargo, muchos clientes de Amazon Web Services pueden desconocer todas las capacidades de seguridad que ofrece AWS

¿Qué es la arquitectura de componentes de servicio (SCA)?

La arquitectura de componentes de servicio (SCA) es un grupo de especificaciones destinadas al desarrollo de aplicaciones basadas en la arquitectura orientada a servicios (SOA), que define cómo las entidades informáticas interactúan para realizar el

Acceder a atributos privados en objetos ABAP

En los objetos ABAP, a menudo es útil poder acceder a atributos que, por alguna razón, los desarrolladores de SAP … han hecho privado! Esto se puede manejar con Enhancement Framework disponible en versiones posteriores

¿Qué es SecOps? Todo lo que necesitas saber

SecOps, formado a partir de una combinación de personal de operaciones de seguridad y TI, es un equipo altamente capacitado que se enfoca en monitorear y evaluar el riesgo y proteger los activos corporativos, que

¿Qué es Kinect? – Definición de Krypton Solid

Kinect es el complemento de sensor de movimiento de Microsoft para la consola de juegos Xbox 360. El dispositivo proporciona una interfaz de usuario natural (NUI) que permite a los usuarios interactuar de forma intuitiva

Herramientas de monitoreo del sistema de Windows 7

Microsoft ha mejorado enormemente la profundidad y la usabilidad del Monitor de recursos y el Monitor de rendimiento de Windows 7. Los proveedores de soluciones deben considerar ambas utilidades como elementos esenciales en su conjunto

Las grandes funciones comerciales del software EMM

Muchas organizaciones han llegado al punto en el que necesitan ir más allá de una política básica de aplicación de dispositivos a un proceso de gestión de la movilidad empresarial. Las organizaciones deben determinar cuándo

Lo que pueden y no pueden hacer

Muchas empresas están explorando el valor comercial potencial de emplear análisis de redes sociales como parte de sus estrategias de inteligencia comercial. Los sitios de redes sociales como Facebook y Twitter tienen mucho que ofrecer

¿Qué es el manejo de errores? – Definición de Krypton Solid

El manejo de errores se refiere a la anticipación, detección y resolución de errores de programación, aplicación y comunicaciones. Hay programas especializados, denominados controladores de errores, disponibles para algunas aplicaciones. Los mejores programas de este

La asociación IBM-Salesforce une a Watson y Einstein

Watson, conozca a Einstein. Einstein, te presento a Watson. Dos de las marcas en capacidades de IA se están uniendo, con una asociación IBM-Salesforce que se espera que facilite la recopilación de información de ambas

Deja un comentario