No pasa un mes sin que una gran corporación sufra un ataque cibernético. A menudo patrocinadas por el Estado, estas violaciones son insidiosas, difíciles de detectar y pueden implicar información personal relacionada con millones de personas. Es evidente que los enfoques actuales para salvaguardar los datos confidenciales son insuficientes. Tenemos que reorientar las expectativas sobre el papel del sector privado en la seguridad cibernética. Como el riesgo de ataques cibernéticos se ha vuelto más apreciado, vemos un enfoque cada vez más punitivo en responsabilizar a los Estados Unidos corporativos.
Múltiples leyes que se superponen a nivel nacional y estatal exigen que las empresas tengan seguridad «razonable», concepto que en gran medida no está definido y elusivo, sobre todo teniendo en cuenta que las amenazas y las medidas defensivas disponibles evolucionan constantemente. Y las acciones de cumplimiento normativo y las demandas judiciales a raíz de ataques cibernéticos declaran que cualquier vulnerabilidad de seguridad explotada es de facto «irrazonable», sin una evaluación significativa del programa de seguridad general de la compañía ni reconocimiento de que la compañía ha sido víctima de un delito.
Este enfoque se basa en una expectativa irrazonable de que cada empresa en los Estados Unidos tiene los recursos y la capacidad para defenderse incluso contra el actor cibernético más sofisticado. Debemos alejarnos de las leyes que se centran en encontrar empresas culpables, en lugar de ser víctimas de la actividad cibernética criminal. Este marco no es justo ni eficaz para mejorar nuestra ciberseguridad colectiva.
Según nuestra experiencia, a pesar del aumento del gasto en seguridad, la mayoría de las empresas se enfrentan a obstáculos importantes para gestionar con éxito el riesgo cibernético. Aunque algunos estándares de seguridad del sector han surgido, son vagos y las soluciones de seguridad disponibles rara vez son llave en mano. Más bien, la seguridad efectiva requiere la aplicación de un criterio significativo en el contexto de arquitecturas de redes corporativas únicas y complejas, así como la capacidad de adaptarse a medida que evolucionan las soluciones de seguridad y las amenazas. Desafortunadamente, el grupo de talentos con la experiencia y el conocimiento cibernéticos necesarios es limitado. Simplemente no es posible, en la actualidad, que cada empresa en Estados Unidos tenga suficiente experiencia cibernética interna para gestionar el riesgo.
El desafío se ve agravado por los recursos y la sofisticación que los ciberatacantes estatales y criminales pueden aportar. En ningún otro ámbito esperamos que cada empresa se defienda de la inteligencia extranjera y de los organismos militares o de las amenazas criminales sofisticadas.
Aunque ha habido un enfoque significativo en compartir información sobre amenazas, tanto dentro del sector privado como entre el gobierno y el sector privado, esa distribución sigue siendo incompleta, en el mejor de los casos, en particular cuando se trata de las técnicas, tácticas y procedimientos que emplean determinados agentes. Como resultado, las empresas a menudo carecen de suficiente conocimiento de las amenazas específicas a las que se enfrentan para que puedan defenderse mejor.
Dados estos y otros factores, las empresas que sufren ataques cibernéticos son, y deben ser tratadas principalmente como víctimas. Cuando un banco sufre un robo físico, no pensamos en culparlo y avergonzarlo, aunque casi siempre hay alguna precaución adicional que el banco podría haber tomado que podría haber ayudado a prevenir el ataque (como un agente de policía estacionado en cada ventanilla de cajero o limitar el acceso de los clientes a los cajeros). Si bien se espera que los bancos apliquen algunas medidas de seguridad, no se espera que esas medidas impidan por completo los ataques criminales, y los bancos no son vilipendiados si no tienen todas las precauciones disponibles que podrían haberlos impedido. Sin embargo, en el contexto cibernético, una empresa que sufre una violación se enfrenta a un riesgo sustancial de múltiples investigaciones regulatorias y demandas colectivas, todo enfocado en culpar a la organización por tener medidas de seguridad inadecuadas para derrotar el ataque criminal perpetrado por otros, sin importar el la solidez del programa general de seguridad de la empresa o el monto de la inversión que ha realizado en seguridad.
Esa perspectiva no sólo es injusta, sino contraproducente. En lugar de centrarse en remediar el incidente, restaurar las operaciones, mejorar la seguridad en el futuro y mitigar los posibles daños, una empresa en medio de una brecha cibernética también necesita preocuparse por el registro que se está creando: lo que se está anotando, si los abogados están suficientemente involucrados en la investigación forense y otras consideraciones relativas únicamente a la protección contra la responsabilidad. Además, el temor a una posible responsabilidad descendente limita la información que una empresa está dispuesta a compartir; es posible que no revele el incidente en absoluto, y mucho menos cómo y por qué el intruso pudo eludir las medidas de seguridad existentes, privando a la comunidad en general de la oportunidad de aprender lecciones del incidente, como sucede en la aviación y otras industrias.
Aunque el Ley de Ciberseguridad de 2015 siempre que haya algunas protecciones, son estrechas y no han dado lugar a un aumento sustancial del intercambio de información. Como resultado, nuestra ciberseguridad colectiva se ve disminuida: no aprovechamos la seguridad mejorada ni las eficiencias que produciría un enfoque más colaborativo para la inteligencia y la defensa contra amenazas.
Tenemos que reorientar nuestro enfoque de ciberseguridad. Deberíamos imponer menos cargas a las empresas individuales centrándonos más en formas sistémicas de abordar las amenazas cibernéticas. En parte, ese enfoque requeriría que el gobierno federal asuman un papel más activo en la defensa cibernética. El Gobierno tiene una serie de ventajas comparativas sobre el sector privado, como la capacidad de reunir y explotar información de inteligencia y de coordinarse internacionalmente con otros gobiernos y organismos encargados de hacer cumplir la ley. El gobierno debería hacer más para dar al sector privado el beneficio de estas ventajas.
Por ejemplo, el gobierno debería dedicar más recursos a reunir información sobre posibles ataques cibernéticos contra entidades privadas, en particular de actores del estado nacional, y luego tomar medidas para ayudar a prevenirlos, no simplemente notificar a las empresas que se cree que están en riesgo y luego dejarlas en paz, con imperfectos e información incompleta, para investigar y responder. A medida que el Departamento de Seguridad Nacional asume mayores responsabilidades para identificar y minimizar los riesgos de ciberseguridad para la economía estadounidense, debería emitir directrices operativas pragmáticas y rentables a las empresas sobre cómo defenderse de los riesgos en evolución.
También necesitamos enfocarnos más en incentivar las mejoras de seguridad en puntos del ecosistema cibernético que puedan tener un efecto de escala y proteger a grandes grupos de usuarios y empresas, en lugar de dejar a cada uno solo. En conjunto, estamos mejor en cuanto más que los proveedores de software puedan utilizar prácticas de codificación seguras y evitar así una vulnerabilidad, en lugar de requerir que todos los usuarios instalen un parche en algún lugar de la línea. También estaremos mejor atendidos si más proveedores de servicios de Internet mitigan los efectos de una red botnet filtrando el tráfico para limitar la falsificación de IP, en lugar de exigir a cada objetivo que se valga de un ataque de denegación de servicio.
Es probable que se necesiten reformas legales y políticas para lograr estos objetivos y alentar a las empresas a colaborar con el gobierno en estas iniciativas. Tal colaboración es poco probable a menos que la ley proporcione mayores protecciones de confidencialidad y responsabilidad que las disponibles actualmente para las empresas que toman acciones para ayudar a nuestra ciberdefensa colectiva. Pero con las protecciones adecuadas, las empresas pueden estar más dispuestas a unir fuerzas con el gobierno de esta manera y con otros para reducir el riesgo cibernético.
Si bien no estamos desafiando que tenga sentido imponer algunas obligaciones de ciberseguridad a empresas individuales, esas obligaciones deben ser razonables y claras. Las empresas que cumplan un conjunto definido de requisitos basados en el riesgo, que podrían desarrollarse a través de un proceso colaborativo y de múltiples partes interesadas, deberían tener un refugio seguro frente a la responsabilidad, reconociendo que son víctimas, no autores, de actividades cibernéticas malintencionadas.
—
Samir C. Jain and Lisa M. Ropple
Via HBR.org
