Singapur entra en el juego de defensa de la red

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Hay una hipótesis común en la generalidad del mundo de la seguridad informática de que violaciones enormes como las de Equifax, Anthem y Target es algo que seguirá ocurriendo.

Que la próxima gran brecha es simplemente una cuestión de tiempo.

Esto se debe a que las grandes empresas detestan gastar dinero en cosas que no son directamente rentables, como la infraestructura segura o la capacitación de calidad para los empleados.

Además, no existe realmente ninguna presión externa sobre las empresas para que se desempeñen mejor, por lo que no lo harán.

Algunos países han reconocido que este tipo de externalidades negativas causan un daño público importante, y han tratado de adelantarse a la curva de amenazas con la legislación de ciberseguridad.

Actualmente, Singapur tiene en estudio un proyecto de ley de seguridad cibernética que está haciendo un gran esfuerzo para poner un poco de orden en el salvaje oeste de las amenazas tecnológicas.

El proyecto de ley es exhaustivo al cubrir la gestión de las amenazas cibernéticas, así que veamos qué hace bien y qué no funciona bien.

Lo bueno

Nombra un CISO nacional

Con frecuencia adolecen de una cadena de mando poco clara, y compiten por las prioridades de la agencia.

El dinero debe detenerse en alguna parte para montar una defensa efectiva.

Designa infraestructura crítica

No puede priorizar defensas para sistemas que no está mirando.

Deber de informar

A menudo temerosos de la responsabilidad, el impacto de las acciones o el impacto en la reputación, las empresas a menudo se sentarán en la divulgación de ataques cibernéticos durante meses, a veces hasta que un ejecutivo pueda vender las acciones de su empresa. Al eliminar cualquier ambigüedad sobre cuándo y cómo informar las infracciones, todos están en la misma página.

Designa los mejores estándares y obliga a las empresas a seguirlos

Actualmente, no hay prácticas coherentes y acordadas de mejor ciberseguridad que las empresas puedan seguir.

Poder para investigar y forzar la remediación

A diferencia de los contratistas de defensa estadounidenses que manejan infraestructura crítica, no estaban obligados a informar infracciones hasta 2015, y hasta la fecha no han perdido ningún contrato debido a la pérdida de datos clasificados, el proyecto de ley de Singapur otorga la autoridad para que un oficial de ciberseguridad investigue un incumplimiento de la infraestructura, y obligar a remediar las mejores prácticas de la industria.

Licencias de seguridad informática corporativas

Si bien esto podría ser un poco dudoso en la implementación, las compañías que auditan la infraestructura crítica de acuerdo con un estándar acordado benefician a todos.

Los propietarios de las infraestructuras saben exactamente qué servicios están pagando, los funcionarios de ciberseguridad pueden juzgar el impacto de los servicios estandarizados de forma más precisa.

Lo que pudo ser mejor

Sanciones penales por delitos

Aunque parezca obvio, las infracciones rara vez se deben a la mala conducta de un solo individuo y, con mucha mayor frecuencia, al resultado final de un proceso corporativo enfermo.

Un elemento de disuasión más eficaz serían las multas niveladas a nivel corporativo, y lo suficientemente grandes como para que se sienta en la economía de la compañía.

Secreto

Muchas secciones dentro del proyecto de ley contienen disposiciones para la no divulgación y multas y encarcelamiento correspondientes para cualquier persona que hable sobre un incumplimiento de una manera no aprobada.

Desde una perspectiva de gobierno, esto tiene sentido.

Singapur está derivando su autoridad para supervisar la infraestructura crítica al clasificar las infracciones como una amenaza a la seguridad, y una creencia clásica de los gobiernos es que no se habla públicamente de las amenazas a la seguridad.

Las amenazas de red son diferentes

Las configuraciones y aplicaciones utilizadas por una empresa de transporte pueden tener una superposición significativa con las utilizadas en empresas no críticas.

La transparencia y el intercambio de información no solo presionan a una empresa violada para que demuestre una reparación adecuada, sino que también ofrecen lecciones aprendidas que pueden mantener seguras a cientos de organizaciones menos críticas. La luz del sol y el intercambio son métodos comprobados para que los defensores propaguen las mejores soluciones para todos.

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS