1

Silicon Valley estudia acuerdos sobre ciberseguridad

El gobierno de Obama negoció un acuerdo nuclear histórico con Irán y llegó a otro acuerdo para normalizar las relaciones con Cuba. Ahora viene la parte difícil, que es ganarse a Silicon Valley cuando tenga que compartir información de seguridad cibernética.

Tras tantas brechas de seguridad, muy publicitadas tanto en el sector público como en el privado, cuya mayoría de empresas se ubican en Silicon Valley en California, el gobierno estadounidense está intensificando sus esfuerzos para construir puentes con la comunidad tecnológica.

En abril, en la Conferencia anual de RSA en San Francisco, el Departamento de Seguridad Nacional de Estados Unidos anunció que estaba ultimando planes para abrir una oficina satélite en Silicon Valley, para “fortalecer las críticas relaciones y asegurar que el gobierno y el sector privado se beneficien por igual de la investigación y el desarrollo de cada uno.”

Ese mismo mes, la cámara de Representantes aprobó la Ley de Protección Cibernética (Cyber ​​Law Networks), parte de un esfuerzo por el congreso para promover el intercambio de información en relación con las amenazas de seguridad cibernética. Así que, ¿cuál es la reacción del mundo tecnológico? Muchos ejecutivos de tecnología entrevistados dicen que es una buena idea en teoría, “pero que las preocupaciones sobre la privacidad y diversos asuntos legales podrían ser motivo de conflicto”

Quién da el primer paso, o cómo acabar con los temores entre gobierno y Silicon Valley

“La realidad es que hay organizaciones agresoras que nos quieren destruir y quizás con nuestra tecnología”, dice Haiyan Song, vicepresidente senior de mercados de valores en Splunk, un proveedor de plataformas de software para inteligencia operativa en tiempo real.

Para ayudar a abordar este reto, tenemos que mejorar el intercambio dentro del sector privado, y entre el sector privado y la información que maneja el gobierno“. Song admite que el tema se ha manejado a través de informes independientes de seguridad cibernética que revelan agujeros y zonas de susceptibilidad.

“Sin embargo, los informes por sí solos son demasiado pasivos; faltos de enfoque, ya que las empresas no toman medidas inmediatas y buscan subsanar los daños cuando tiene o sufren un problema o un ataque cibernético. Debemos hacer que esta información sea totalmente procesable, que cuente con la integración de aplicaciones que manejan las empresas, sobretodo las ubicadas en Silicon Valley o ligadas al mundo tecnológico sobre su seguridad, y también nos alerte sobre las áreas que son más vulnerables”.

Reconoce el directivo de Splunk, que han habido intentos de reducir la brecha entre el sector público y el privado, en lo que respecta a la seguridad de la información. A esto, añade Amrit Williams, director de tecnología de CloudPassage, un proveedor de plataforma de seguridad en la nube y cuya sede está en Silicon Valley, que ahora “más que nunca es fundamental que trabajemos juntos para hacer estos esfuerzos exitosos”.

Hay que tener una oportuna, coordinación y seguimiento de los incidentes de seguridad en todo el sector público y privado; un giro de 360 grados que nos proporcione visibilidad sobre el estado de la amenaza y que nos muestre totalmente el paisaje que enfrentamos para poder ofrecer a nuestros profesionales de seguridad la información y así mantener una ventaja que sea importante sobre los adversarios”.

“Pero compartir información pública y privada debe a su vez, impedir que muchas empresas continúen en el anonimato y no luchan con el dilema de hacer lo correcto por temor a dañar su imagen pública”, afirma Williams. “El gobierno de Estados Unidos debería dar cabida a los intereses del sector privado en la comunicación de los incidentes de seguridad de forma anónima y permitir a los actores del sector público y privado responder rápidamente a las amenazas de manera adecuada, rápida, eficiente; más cuando son descubiertas de inmediato”.

“Los proveedores de seguridad de Silicon Valley pueden trabajar para desarrollar la información sobre amenazas anónimas mejor si éstas sec comparten con la comunidad en general. El intercambio de información clasificada o sobre amenazas es parte del ingrediente esencial para mejorar la postura de seguridad cibernética de los sectores público y privado”, dice Ben Johnson, jefe de estrategia de seguridad del proveedor de seguridad Bit9 + Black Carbon.

“Está claro que a partir del volumen, la sofisticación y la diversidad de los ataques cibernéticos, que estamos observando y padeciendo, los hackers actualmente hacen un mejor trabajo para el intercambio de información, que los encargados de la seguridad'”.

“Pero al compartir información sobre amenazas, el gobierno y las empresas públicas tienen que estar atentos a la protección de la privacidad de los usuarios”, continúa diciendo Johnson. Los datos cibernéticos a menudo contienen información de identificación personal y cualquier programa dedicado a compartir información debe anteponer la privacidad en la parte superior de su lista de prioridades. La información debe ser anónima, cuando sea técnicamente posible, y se entrega sólo a los miembros verificados.”

“No hay una respuesta fácil aquí en Silicon Valley, sobre todo cuando se habla con el gobierno. Tiene que haber al menos algunos niveles básicos de protección legal para los miembros. para que puedan compartir cómodamente su información. Muchos ejecutivos de tecnología sostienen que el intercambio de información actualizada de seguridad, ha estado sucediendo mayormente en una dirección; desde el sector privado al público, por lo que el gobierno tiene que hacer un mejor trabajo en cuanto a la emisión y colaboración en la entrega de información sobre amenazas que sean de utilidad para las empresas”.

“Cualquier cosa que ayude con el aumento de la eficiencia de la seguridad es un esfuerzo que vale la pena, y el compartir información podría ser uno de dichos esfuerzos”, dice Scott Montgomery, vicepresidente y jefe de estrategia de tecnología de la división de seguridad de Intel, ubicada en Silicon Valley en California.

“Sin embargo, esto tiene que ser una calle de dos vías con el fin de ser tan efectivo como lo puede ser, algo que no ha sucedido hasta este punto. Por ejemplo, el incumplimiento de Irán con las redes informativas de la marina estadounidense a mediados de 2013,  demostró ser un problema con los servidores que cientos de empresas pudieron haber solucionado. Sin embargo, a pesar de que las bases de datos de destino estaban en la red no clasificada, la naval de inmediato lo clasificó, junto a otros resultados”.

A él le gustaría ver al gobierno proporcionar más contexto informativo sobre atribución, motivación, metas y lo que los intrusos son, ya que se sabe que dicha información existe y le permitiría a los profesionales de seguridad de la industria civil centrar datos sumamente importantes en sus programas de seguridad

 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.

There are 1 comments

  1. Pingback: Indra posee centro de ciberseguridad en México - CIOAL The Standard IT

Comments are closed.