Después de casi 20 años de tratar de resolver desafíos de ciberseguridad, y miles de millones de dólares en inversión, todavía estamos luchando para mantener a nuestras organizaciones seguras; de hecho, el problema parece estar empeorando, no mejor. Claramente, algo acerca de la naturaleza misma de la ciberseguridad hace que sea algo realmente difícil de hacer. ¿Por qué es tan difícil? Hay tres razones principales. En primer lugar, no es sólo un problema técnico, sino que involucra aspectos de la economía, la psicología humana y otras disciplinas. En segundo lugar, las «reglas» del ciberespacio son diferentes que en el mundo físico. Las amenazas cibernéticas pueden venir literalmente de cualquier persona, en cualquier lugar. Y tercero, las leyes, políticas y prácticas de ciberseguridad aún no están plenamente desarrolladas. Esta será la tarea clave de la política de ciberseguridad para los próximos 5 a 10 años.
Después de casi 20 años de intentos y miles de millones de dólares en inversión, ¿por qué las organizaciones siguen luchando con la ciberseguridad? De hecho, el problema parece estar empeorando, no mejor. Responder a esta pregunta requiere ir más allá de un examen puramente técnico de la ciberseguridad. Es cierto que los desafíos técnicos son muy reales; no sabemos cómo escribir código libre de errores, por ejemplo. Pero si nos fijamos en el desafío de manera más amplia, incluso si resolviéramos los problemas técnicos, la ciberseguridad seguiría siendo un problema difícil por tres razones:
- No es sólo un problema técnico
- Las reglas del ciberespacio son diferentes de las
- La ley, la política y la práctica de la ciberseguridad aún no están plenamente desarrolladas
La primera razón – que la ciberseguridad es algo más que un problema técnico, que incorpora aspectos económicos, psicología humana, y otras disciplinas — ha sido explorado en otros artículos de este serie ciberseguridad. Sin embargo, las otras dos razones también contribuyen fuertemente a dificultar la ciberseguridad, y nuestros enfoques deben tenerlos en cuenta.
Diferentes reglas en el ciberespacio
El ciberespacio opera de acuerdo a diferentes reglas que el mundo físico. No me refiero a las «reglas» sociales sino a la física y las matemáticas del ciberespacio. La naturaleza nodal de una red de velocidad luminosa significa que conceptos como distancia, fronteras y proximidad operan de manera diferente, lo que tiene profundas implicaciones para la seguridad. En primer lugar, con distancias muy reducidas, las amenazas pueden venir literalmente de cualquier lugar y de cualquier actor. Segundo, las fronteras en el ciberespacio no siguen las mismas líneas que hemos impuesto al mundo físico, sino que están marcadas por enrutadores, cortafuegos y otras puertas de enlace. La proximidad es una cuestión de quién está conectado a lo largo de qué caminos, no su ubicación física.
Como resultado, nuestros modelos mentales del mundo físico simplemente no funcionarán en el ciberespacio. Por ejemplo, en el mundo físico, asignamos al gobierno federal la tarea de seguridad fronteriza. Pero dada la física del ciberespacio, la red de todos está en la frontera. Si todos viven y trabajan justo en la frontera, ¿cómo podemos asignar seguridad fronteriza exclusivamente al gobierno federal? En el mundo físico, el crimen es local: hay que estar en un lugar para robar un objeto, por lo que la policía tiene jurisdicciones basadas en límites físicos. Pero en el ciberespacio puedes estar en cualquier lugar y llevar a cabo la acción, por lo que las jurisdicciones policiales locales no funcionan muy bien.
Los mismos principios del ciberespacio que permiten a las empresas llegar directamente a sus clientes también permiten a los malos llegar directamente a los negocios. Sin embargo, no se puede hacer que los gobiernos se interpongan en el camino de los segundos sin que también se interpongan en el camino de los primeros. El intercambio de información entre las personas a velocidad humana puede funcionar en muchos contextos físicos, pero claramente queda corto en el ciberespacio. Mientras sigamos tratando de mapear modelos físicos del mundo en el ciberespacio, se quedarán cortos de alguna manera.
Marcos jurídicos y normativos
A continuación, el ciberespacio sigue siendo muy nuevo desde el punto de vista jurídico y político. En la forma moderna, Internet y el ciberespacio han existido por sólo unos 25 años y han cambiado constantemente durante ese período de tiempo. Por lo tanto, no hemos desarrollado los marcos amplios que necesitamos. De hecho, aún no tenemos respuestas claras a las preguntas clave:
- ¿Cuál es la correcta división de responsabilidades entre los gobiernos y el sector privado en materia de defensa?
- ¿Qué nivel de cuidado debemos esperar que las empresas ejerzan en el manejo de nuestros datos?
- ¿Cómo deben abordar los reguladores la ciberseguridad en sus industrias?
- ¿Qué acciones son aceptables para los gobiernos, las empresas y los individuos y qué acciones no lo son?
- ¿Quién es responsable de los defectos del software?
- ¿Cómo hacemos que las personas y las organizaciones rindan cuentas más allá de las fronteras internacionales?
Algunas respuestas están empezando a surgir. Por ejemplo, no deberíamos esperar que el gobierno federal proteja a todas las empresas de todas las amenazas en línea todo el tiempo; simplemente no es práctico, ni es deseable, porque tendría un impacto significativo en la forma en que somos capaces de hacer negocios. Por otra parte, difícilmente podemos esperar que la mayoría de las organizaciones frustren las actividades de los sofisticados actores estado-nación. Entonces, ¿cómo resolvemos este dilema?
Tal vez deberíamos tomar prestados conceptos del mundo de la respuesta a los desastres y dividir la responsabilidad de una manera fluida que se adapte con el tiempo en respuesta a las circunstancias cambiantes. En la respuesta a los desastres, la preparación y la respuesta inicial residen en el plano local; si un incidente determinado abruma o amenaza con abrumar a los respondedores locales, entonces los niveles de gobierno cada vez más altos pueden intervenir. Podríamos aplicar estos principios a la asignación de responsabilidades en el ciberespacio: las empresas y las organizaciones siguen siendo responsables de asegurar sus propias redes, hasta cierto punto. Pero si queda claro que un estado-nación está involucrado, o incluso si el gobierno federal simplemente sospecha que un estado-nación está involucrado, entonces el gobierno federal comenzaría a aprovechar sus capacidades. Responder plenamente a estas preguntas es la tarea clave de la política de ciberseguridad para los próximos cinco a diez años.
Mientras tratemos la ciberseguridad como un problema técnico que debería tener soluciones técnicas fáciles, vamos a seguir fallando. Si, en cambio, desarrollamos soluciones que aborden las razones por las que la ciberseguridad es un problema difícil, entonces progresaremos. El Alianza contra las amenazas cibernéticas (CTA) es solo un ejemplo de este enfoque (divulgación: soy el presidente de CTA). Hace poco más de dos años, un grupo de profesionales de ciberseguridad de varias organizaciones llegó a la conclusión de que el modelo operativo de la industria no estaba produciendo los resultados deseados y decidió adoptar uno nuevo: trabajar juntos de buena fe para comenzar a compartir información sobre amenazas de manera automatizada, con todos los que contribuyen al sistema, y con el contexto de las amenazas recibiendo mucho más peso. La estructura del CTA es un intento de lidiar con los defectos conocidos en los esfuerzos existentes de intercambio de información. Si podemos seguir innovando de esta manera, por fin podremos comenzar a avanzar en la lucha contra este problema aparentemente insoluble.
