Las amenazas de ciberseguridad y privacidad no se limitan al mundo tecnológico. Han arrojado su palidez sobre el mundo en general. Los virus informáticos, el malware y las filtraciones de datos se han convertido en algo común, la privacidad personal se ha convertido en una broma de mal gusto y la guerra cibernética se perfila como una nube virtual.
Lo que a veces se pierde en la penumbra son las muchas formas en que los profesionales de la seguridad han estado trabajando para apuntalar las ciberdefensas y reconstruir cierta apariencia de privacidad personal. La mesa redonda de expertos en tecnología de ECT News Network discutió recientemente algunos de los avances en seguridad cibernética y protección de la privacidad, y si bien es posible que no se hayan decidido por ninguna solución global, sí identificaron varios rayos de esperanza.
En la conversación participaron Laura DiDio, directora de
ITIC; Rob Enderle, analista principal de la Grupo Enderle; Ed Moyle, socio de
SecurityCurve; Denis Pombriant, director gerente de la Beagle Research Group; y Jonathan Terrasi, un
periodista tecnológico quien se enfoca en seguridad informática, encriptación, código abierto, política y actualidad.
FORTALECIMIENTO DE LA CIBERSEGURIDAD
Los avances en el aprendizaje profundo y otras tecnologías ofrecen alguna esperanza para identificar y erradicar los riesgos de ciberseguridad antes de que puedan causar daños irreparables, pero la mayoría de los remedios que nuestro panel mencionó involucran el comportamiento huma no.
Los componentes principales para apuntalar los muros de ciberseguridad son aumentar la competencia, ajustar las prioridades, trabajar juntos, establecer la responsabilidad y tomar medidas gubernamentales, dijeron.
Cerrar la brecha de habilidades
Los profesionales de la seguridad deben mirar hacia adentro para buscar la mejor oportunidad de realizar mejoras radicales, sugirió Moyle, quien aboga por establecer una licencia para practicar, similar a una licencia médica.
"Esto es controvertido y podría decirse que no ayudaría a la escasez de habilidades", reconoció.
"Dicho esto, un buen 70 por ciento de los que están en la profesión deberían estar haciendo otra cosa debido a la falta fundamental de habilidad y / o disposición para mantenerse al día".
Aunque no pidió específicamente un requisito de licencia, DiDio dijo que "las corporaciones necesitan obtener el nivel adecuado de capacitación en seguridad para sus administradores de TI y seguridad, realizar pruebas de vulnerabilidad al menos una vez al año y mantenerse actualizadas todo el software y los parches ".
Sin embargo, la capacitación probablemente no debería limitarse a la creación de un ejército más calificado de profesionales de seguridad cibernética.
Según Enderle, lo único que podría tener el impacto positivo más dramático en la seguridad cibernética en general es la capacitación del usuario final.
"Los usuarios siguen siendo la causa más probable de una violación", señaló.
"Al final del día, los propios usuarios finales constituyen la mayor amenaza y socavan la seguridad más que los hackers", dijo DiDio.
"Las empresas deben proporcionar capacitación sobre conciencia de seguridad para sus usuarios finales para que estén al tanto de las últimas estafas de phishing por correo electrónico, fraude de CEO, malware, ransomware y virus que están circulando", dijo. "Hay que cambiar las actitudes y la mentalidad de las personas para que piensen antes de hacer clic en un enlace potencialmente malo".
Ajuste de prioridades
La capacitación en seguridad languidece en muchos aspectos negativos porque las organizaciones, o individuos, no han experimentado las repercusiones de un ciberataque de primera mano. O han sido víctimas, pero aún no lo saben.
"La gente tiene que dejar de pensar: 'Esto no me va a pasar', no se puede practicar la seguridad en retrospectiva 20/20", advirtió DiDio.
"Lo más aterrador es que la mayoría de las organizaciones e individuos no tienen idea de que han sido pirateados hasta que ocurra un desastre, por ejemplo, el pirata informático está exigiendo un rescate y la organización está bloqueada de sus servidores. O la información personal del usuario individual ha sido comprometido y los datos se pierden, son robados o destruidos ", dijo.
Moyle hizo una gran analogía entre ciberhealth y salud personal.
"Es como preguntarle a alguien la mejor manera de evitar enfermedades del corazón. Hay una respuesta a esto que no es ciencia espacial. Sin embargo, la gente no quiere escucharla", dijo.
La respuesta, por supuesto, es centrarse en "dieta, ejercicio, no fumar o beber, mantener el estrés bajo, minimizar la cafeína, etc.", continuó Moyle.
"Ya lo saben. Es la parte de la ejecución donde las personas caen porque conscientemente eligen hacer lo contrario", dijo. "Por cierto, esto no es una acusación: las personas evalúan y deciden que la amenaza no vale la pena adaptarse o cambiar su estilo de vida. Para el registro, yo también lo hago".
Aquí es donde entra en juego una conciencia más profunda de las consecuencias de la inacción.
"Cuando elijo hacer un estilo de vida poco saludable, impacta mi propia salud, aumentando mi susceptibilidad a las enfermedades del corazón, por ejemplo, pero realmente no afecta a nadie más", señaló Moyle.
"Eso también es cierto en la seguridad, en la medida en que estoy tomando decisiones que me afectan solo, por ejemplo, la seguridad de mi computadora personal y mis datos. El problema con el que nos encontramos es que la compensación en muchos casos es sacrificio en la parte de una parte que beneficia la seguridad de otra ", señaló.
"La caracterización del problema por parte de Ed como pacientes que no siguen su prescripción de seguridad es acertada", coincidió Terrasi.
"La seguridad y la conveniencia existen en una relación de compensación, lo que significa que la verdadera seguridad hará que la operación diaria de una empresa sea más complicada", dijo.
"Si soy una empresa con presencia en línea, las decisiones de seguridad que tomo me impactan hasta cierto punto, pero incluso en el peor de los casos, por ejemplo, una violación a gran escala, las consecuencias a largo plazo no son terriblemente severas para mí. Son terribles para otra persona ", dijo Moyle.
Para ilustrar su punto, Moyle señaló los ataques de TJX y Sony hace unos años, que parecían dañar severamente a las compañías. UN
estudiar los efectos de esos ataques encontró "un impacto negativo y estadísticamente significativo de las violaciones de datos en el valor de mercado de una empresa en el día del anuncio de la violación. El efecto acumulativo aumenta en magnitudes durante el día siguiente al anuncio de la violación, pero luego disminuye y pierde significación estadística".
En otras palabras, desde la perspectiva de las compañías, los ataques fueron "un gran drama a corto plazo, pero no un gran problema para ellos a largo plazo", dijo Moyle. "El impacto es, en cambio, para los clientes, quienes tienden a perdonar a la compañía pero aumentan su riesgo general, en algunos casos, significativamente, en un horizonte de tiempo mucho más largo".
"Se conocen hábitos efectivos de seguridad de la información, entonces, ¿por qué las compañías no los están poniendo en práctica? La respuesta es que las alternativas no son tan rentables", dijo Terrasi.
"El costo de la pérdida de beneficios y el acuerdo de demanda colectiva es simplemente menor que el costo de las medidas de seguridad para no ser pirateados en primer lugar. La economía llama a esto 'costos de externalización', y es la misma dinámica que lleva a las empresas a contaminar. Es es más fácil arrojar productos químicos en un río que transportarlos cuidadosamente a un sitio de eliminación ".
Salir del bate de béisbol
Si las empresas están dispuestas a aceptar compensaciones que perjudican a otros pero que hacen poco daño a sus propios intereses, ¿qué sucede entonces?
"El remedio a la negativa voluntaria de las compañías a implementar la seguridad de la información adecuada es la misma que utilizamos para remediar su negativa a eliminar los desechos tóxicos, que es la regulación gubernamental", dijo Terrasi.
"Una vez que las multas sean más altas que el costo de ser pirateado, las compañías encontrarán rápidamente formas de no ser pirateadas", agregó.
"No vemos demasiadas empresas que puedan salirse con la suya proporcionando a sabiendas productos que matan a sus clientes, y cuando lo hacen, ¿qué les sucede? Sabiendo las consecuencias de tal acción, toman medidas para evitarlo", dijo. Moyle
"Por ejemplo, cada botella de aspirina que se vende hoy en día tiene un sello a prueba de manipulaciones. ¿Por qué? Porque alguien manipuló algunas en los años 80 y la gente se asustó lo suficiente como para que los proveedores priorizaran la contramedida lo suficiente como para que no pueda volver a ocurrir". él recordó.
"Si los clientes respondieran así a un incumplimiento, uno en el que la empresa en cuestión debería o lo sabía mejor, puedo garantizarle que tendríamos menos problemas de seguridad ahora", agregó Moyle.
"Agregaría que necesitamos pasar de la defensa a una ofensiva mucho más agresiva", dijo Enderle.
"Si podemos centrar nuestros propios esfuerzos de ataque en aquellos que realizan los ataques y perseguir de forma más agresiva a los atacantes y destruir la economía de la industria del malware, podríamos tener un cambio sostenido", sugirió.
"También debemos comunicar que cada pieza de hardware, software, correo electrónico que compre o cree es una opción de seguridad, y responsabilizar a las personas por el daño relacionado si eligen mal", agregó Enderle. "Probablemente podríamos hacer un progreso real".
Llamar a los federales
Puede ser que la educación del usuario, la capacitación profesional y la responsabilidad significativa no sean suficientes para tener un impacto positivo significativo en la seguridad cibernética sin la intervención del gobierno.
El gobierno debe tomar la amenaza en serio y financiar una respuesta adecuada, dijo Enderle.
"Hay algunos escenarios de miedo que se han compartido que indican que un golpe significativo en la red que duró 60 días nos mataría al 75 por ciento de nosotros. El gobierno no se está tomando esto lo suficientemente en serio", enfatizó.
"Necesitamos un tratado internacional en línea con los Convenios de Ginebra sobre la guerra o el Pacto Kellogg-Briand que prohíbe la guerra como instrumento de política exterior", sugirió Pombriant.
"La tecnología por sí sola siempre nos fallará. Necesitamos que la mayoría del planeta no se sienta en desventaja por no participar en una guerra cibernética. De ahí la necesidad de un tratado, y cuanto antes mejor", dijo.
Sin islas
"No hay una mejor cosa, un atajo o una bala de plata que pueda mejorar la seguridad cibernética dramáticamente. Debe ser un esfuerzo concertado realizado por usuarios finales, empresas corporativas, vendedores y reguladores que trabajan en conjunto", dijo DiDio.
Los desarrolladores también tienen un papel que desempeñar, señaló Terrasi.
"Los dos hacks que se extendieron más allá de los círculos de seguridad de la información y causaron sensación en la conciencia pública –Spectre / Meltdown y WannaCry– fueron ilustrativos de algunos de los desafíos más importantes que enfrentan los profesionales de seguridad en este momento", señaló. fuera.
"Ambos ataques muestran cómo las vulnerabilidades severas pueden acumularse generacionalmente si no se toma el cuidado adecuado cuando el software se diseña inicialmente y cuando los desarrolladores de software son demasiado apresurados para dirigir su atención al próximo proyecto", dijo Terrasi.
"Esto es especialmente cierto con Specter / Meltdown, donde se descubrió que los trucos de aceleración de la CPU se jugaban fácilmente para socavar todo lo que opera por encima del nivel de hardware, que es básicamente todo", continuó.
"Los profesionales de la tecnología tienen un control en su nivel en las capas de abstracción: los desarrolladores de aplicaciones entienden los errores de la aplicación, los desarrolladores del kernel entienden los errores del kernel, pero aún no han ideado un modelo confiable sobre cómo mitigar los efectos secundarios en las capas más allá aquellos en los que operan ", señaló Terrasi.
"El ataque WannaCry demuestra una dinámica similar, pero entre las capas aguas arriba y aguas abajo en lugar de las capas de abstracción", observó.
"Está en Microsoft, por ejemplo, trabajar con clientes que pueden tener una razón legítima para usar Windows XP, como los hospitales que usan dispositivos médicos que languidecieron en el proceso de aprobación regulatorio a medida que XP aceleró hacia su fin de vida, y no se fue alto y seco ", argumentó Terrasi.
"La industria no pasará al siguiente nivel hasta que cada jugador aprenda a abordar mejor las necesidades de los socios y busque su opinión", dijo.
"El hecho es que vivimos en una sociedad interconectada y eso hace que la seguridad sea aún más desafiante", señaló DiDio. "Todos, desde el CEO hasta el usuario final, deben tomarse en serio la seguridad cibernética".
RESCATE DE PRIVACIDAD
La privacidad está muerta, nuestros panelistas parecieron estar de acuerdo. Donde sus opiniones divergieron, hasta cierto punto, fue en si podría reencarnarse o si su pérdida realmente importa mucho.
Ya sea que percibieran el objetivo como tratar con la nueva privacidad normal o haciendo un esfuerzo heroico para revertir la marea, cada uno de nuestros panelistas ofreció sugerencias concretas para abordar la situación. Entre ellos se encuentra la sensibilización del público, presionar por la regulación e implementar nuevas soluciones tecnológicas.
Conseguir un apretón
"Restaurar la privacidad una vez que se ha comprometido es como tratar de restaurar un rebaño de vacas una vez que se han comido. Creo que el caballo de la privacidad ha abandonado el granero, se mudó a México y quemó su identificación", bromeó Enderle.
"Es demasiado tarde y es innecesario", dijo Pombriant.
"No necesitamos privacidad per se: necesitamos convenciones sobre cómo usar éticamente los datos disponibles. En este momento, vivimos en el Salvaje Oeste de la tecnología y necesitamos influencias civilizadoras", agregó.
"El mejor objetivo sería asegurar que la información no se use mal en este momento", acordó Enderle.
Eso requiere "hacer que las personas sean mucho más conscientes de lo que son sobre los riesgos relacionados", agregó.
"Lo único que funcionaría es que las personas se cansen de comprometer su privacidad. Esto impulsará la regulación, lo que a su vez obligará a las empresas a respetar la privacidad de los datos sobre la utilidad comercial de los datos", dijo Moyle.
"Hay que comenzar imponiendo limitaciones en la venta de información al consumidor y eso es muy, muy difícil. Para empezar, ¡me gustaría ver que el gobierno reduzca las llamadas automáticas!" dijo DiDio.
"A pesar de los nobles esfuerzos de algunos estados con visión de futuro, no existe una regulación significativa a nivel federal sobre cómo proteger la privacidad", señaló Terrasi.
"Esto no es principalmente intencional o al servicio de la vigilancia, sino más bien atribuido a la falta de experiencia y falta de iniciativa", dijo.
"Hace mucho tiempo que el Congreso abolió su órgano asesor científico y tecnológico, y cuando tuvieron la oportunidad de revivirlo votaron por no hacerlo", señaló Terrasi.
"La tecnología avanza demasiado rápido para muchos consumidores y usuarios. El Congreso es un incremento más lento que ellos, e incluso cuando se encargan de contemplar acciones, no están en condiciones de elaborar una legislación informada, lo que les permite abandonar la legislación. o dejar que los cabilderos de la industria lo escriban ", explicó.
Pasando a la tecnología
"Si queremos devolver la agencia de la privacidad digital a los usuarios, la industria debe estar dispuesta a repensar algunos protocolos y estándares, y el gobierno de alto nivel debe mantenerse al día con los avances técnicos y solicitar experiencia externa y no partidista ", Dijo Terrasi.
La arquitectura que compromete la privacidad está arraigada desde una perspectiva técnica, señaló.
"Las direcciones IP son geolocalizables, las búsquedas de DNS no están encriptadas, aunque Google y Mozilla están trabajando para cambiar esto. Los metadatos viven en encabezados que no pueden encriptarse, y los teléfonos celulares confían en cualquier torre a través de la cual puedan conectarse y hacer ping constantemente". Terrasi señaló.
"Este es todo el caso, no porque ninguno de los diseñadores haya sido negligente, sino porque nunca anticiparon los casos de uso actuales", explicó.
"Internet, la Web, el correo electrónico y la comunicación celular tuvieron una escasa adopción inicial por parte de expertos en su mayoría técnicos cuyas necesidades satisfacían estas tecnologías sin la necesidad de mucha sofisticación. En un momento en que los sitios web eran estáticos y no operaban en el comercio, qué necesidad ¿pensaría un ingeniero que habría cifrado? " Terrasi preguntó.
"Cuando aparecen Amazon y la banca en línea, el cifrado se convierte en vida o muerte para esos servicios", continuó.
"El crecimiento de Internet y otras tecnologías digitales ha dependido en parte de qué tan bien se pueden fijar las soluciones después de los hechos, pero después de un momento, estas ya no son suficientes. Puede llenar los baches al principio, pero eventualmente tienes que romper el asfalto y volver a pavimentar la calle. Estamos en la etapa de repavimentación de protocolos que respetan inherentemente la privacidad ", dijo Terrasi.
"Ciframos muy poco de los datos que usamos, y puedo ver que llegará un momento en que el cifrado es estándar. Oracle ya proporciona cifrado en su nube, y eso es algo que debemos buscar", sugirió Pombriant.
"Agregaría que debemos dejar de hacer cosas estúpidas como tratar de obligar a los vendedores a crear y suministrar a las fuerzas del orden público con claves de cifrado. La seguridad de estas organizaciones no es absoluta, y una clave robada sería potencialmente más catastrófica que la mayoría de los crímenes que intentan mitigar ", señaló Enderle.
"El problema no es tanto que los datos no estén encriptados. La mayoría del tráfico web ahora está encriptado, lo que no era cierto hace solo un par de años", señaló Terrasi.
El problema es que "no se mantiene seguro cuando llega a quien lo recolecta. La mayoría de las veces, los datos se cifran cuando se mueven por el cable, pero los datos arquitectónicos tienen que ser descifrados para ser utilizados, y se utilizan todos la hora ", dijo.
"La privacidad de la mayoría de las personas que viven hoy se pierde irrevocablemente, pero eso no significa que no debamos tratar de construir nuevas arquitecturas y protocolos para proteger la privacidad de aquellos que nos siguen, o de nuestro yo futuro, a medida que cambiamos. con el tiempo y los viejos datos sobre nosotros se vuelven obsoletos ", argumentó Terrasi.
"Si imponemos requisitos que obligan a las empresas a ser transparentes con los usuarios sobre los datos que recopilan, y construimos una nueva infraestructura de software de Internet, piense en protocolos, que generan más privacidad de forma predeterminada", sugirió, "podemos establecernos en un mejor equilibrio en el futuro ".
