Iniciativa "Fortalecimiento de la ciberseguridad de Estados Unidos"

Reconocer que tiene un problema es el primer paso para abordar el problema de manera seria. Este parece ser el razonamiento por el que la Casa Blanca anunció recientemente su iniciativa "Fortalecimiento de la ciberseguridad de Estados Unidos".

El texto del anuncio contiene varias declaraciones que cualquiera que haya leído sobre seguridad cibernética habrá escuchado muchas veces: aumento de la resiliencia, mayor conciencia, contrarrestar los ataques de ransomware, y la lista continúa.

También hay algunos aspectos novedosos en el texto, incluida la comprensión de que la seguridad cibernética no es, nunca ha sido y nunca será algo que pueda resolverse a nivel de estado-nación.

La Casa Blanca también señaló las etiquetas de advertencia de IoT como una solución, y nos recordó a todos (y necesitamos que nos lo recuerden) sobre la importancia de la educación en seguridad cibernética. Vamos a ver.

La cooperación internacional es fundamental

Un punto clave que la declaración de la Casa Blanca deja muy claro es que los ataques cibernéticos son asimétricos en el sentido de que los actores de amenazas pueden operar a través de las fronteras con impunidad. Mientras tanto, los defensores a menudo se verán restringidos por requisitos legales que no permiten respuestas proporcionales.

Los atacantes sienten una sensación de protección porque disfrutan de medidas regulatorias y de aplicación más estrictas en casa, mientras que pueden apuntar a sistemas que operan prácticamente en cualquier parte del planeta, sin importar qué tan estricta sea la aplicación de la ley en el país de residencia del objetivo.

Mientras el problema no se aborde a nivel internacional, las soluciones que se encuentren no serán mejores que curitas. La iniciativa de la Casa Blanca afirma correctamente, en múltiples instancias, que los socios y organizaciones internacionales como la OTAN desempeñarán un papel decisivo en el espacio de la ciberseguridad.

Esta no es una solución ideal. Sí, los socios internacionales que trabajan juntos expanden el panorama de la defensa a un tamaño que se parece más al tamaño del problema. Sin embargo, esta sigue siendo una solución de retazos con una eficacia limitada.

Lo que necesitamos es algo más parecido a un tratado global que realmente haga cumplir la ley de seguridad cibernética. Basta pensar en el impacto del derecho marítimo internacional, por ejemplo.

No obstante, compartir información sobre actores de amenazas, metodologías y técnicas novedosas es, sin duda, lo mejor para todos y, si se pone en marcha adecuadamente, permitirá respuestas más rápidas a las nuevas amenazas.

La educación en ciberseguridad sigue siendo importante

Otro aspecto interesante de la iniciativa Fortalecimiento de la seguridad cibernética de Estados Unidos es el enfoque en impulsar la educación en seguridad cibernética. Como se nos advierte constante y dolorosamente, la ciberseguridad es ante todo un problema de personas más que un problema de tecnología.

Aumentar la alfabetización en seguridad cibernética y enseñar a las personas los conceptos básicos de cómo comportarse en línea de manera segura en todas las etapas de la vida privada y comercial tendrá efectos combinados tanto en la reducción del riesgo como en la reducción del impacto de cualquier incidente que inevitablemente seguirá ocurriendo.

Tome la Iniciativa Nacional para la Educación en Seguridad Cibernética (NICE) apoyada por el NIST, por ejemplo. Con un marco formal, eventos regulares y actualizaciones de boletines, hace un gran esfuerzo. Por supuesto, ninguna solución es infalible, pero los efectos acumulativos de cada iniciativa marcarán la diferencia.

¿Qué pasa con las etiquetas de riesgo para dispositivos IoT?

Hay un debate candente en torno a un nuevo esquema de etiquetas de riesgo para dispositivos IoT. Las etiquetas de seguridad cibernética para el consumidor están destinadas a actuar como una ruta para la divulgación, de manera similar a la forma en que las etiquetas de los alimentos enumeran los ingredientes y los puntajes nutricionales.

Sin embargo, aún no se sabe qué tan efectiva será una etiqueta de ciberseguridad para el consumidor. Surgen nuevas vulnerabilidades todo el tiempo, por lo que es discutible la precisión de una etiqueta impresa hace medio año cuando un dispositivo está en un estante en Best Buy.

Además, sin el apoyo internacional adecuado, la iniciativa de etiquetado probablemente conducirá a la fragmentación, tal como lo hizo el RGPD, ya que algunos sitios web ahora eligen simplemente bloquear a todos los visitantes de las regiones cubiertas por el RGPD en lugar de intentar cumplir con los requisitos del RGPD.

También existe la preocupación de que una etiqueta pueda ser simplemente un menú "a la carta" para los atacantes. Si una etiqueta especifica claramente todas las medidas de seguridad cibernética que tiene implementado un dispositivo, simplemente se lo hace más fácil para un atacante porque puede ahorrar tiempo al omitir estrategias de ataque que obviamente no funcionarán.

Es un proceso paso a paso

Una etiqueta de ciberseguridad para el consumidor es un paso en la dirección correcta en un panorama en el que a menudo es difícil lograr algún progreso. Si se implementan correctamente, las etiquetas de ciberseguridad para el consumidor podrían conducir a una mejora general de las condiciones de seguridad en Internet y sus diversas redes. Lo mismo ocurre con el creciente número de iniciativas de educación en ciberseguridad.

Pero, como dicen, el diablo está en los detalles, y esos aún están por anunciarse. La conclusión es que el gobierno de EE. UU. está haciendo al menos algún esfuerzo para ayudar a los ciudadanos y empresas del país a controlar la crisis de ciberseguridad.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta