10 ideas para solucionar las fallas de ciberseguridad
Preguntamos a 10 expertos qué se necesita para usar Internet de forma en verdad segura. Éstas fueron sus respuestas.
El reportero de seguridad Byron Acohido y yo pedimos a 10 ciberexpertos que nos ofrecieran sus mejores ideas para detener las amenazas que enfrentamos cuando se trata de seguridad digital. (Casi todos dijeron que no hay algo cercano. Murmuraron algo acerca de que no hay balas de plata.)
Brian Krebs, periodista de investigación y autor del libro próximo a publicarse Spam Nation: “Estar a salvo y seguro en línea requiere fundamentalmente de un cambio de mentalidad. Me gustaría ver a más usuarios de Internet depender mucho menos de las herramientas automatizadas para su seguridad y tomar una postura defensiva que comience con un reconocimiento de que todo puede ser hackeado, pero que los malos, en su mayoría, están en pos de la información valiosa que no está debidamente protegida. Esto significa educarse acerca de las limitaciones de las herramientas de seguridad y tomar medidas proactivas para apuntalar estas defensas.”
Scott Charney, Corporate VP de Trustworthy Computing Group de Microsoft: “En el mundo de los servicios en la nube y los grandes volúmenes de datos, la gente espera que las empresas sean administradoras responsables de esos datos. De hecho, tener confianza en un proveedor determina en última instancia si la gente está dispuesta a utilizar sus productos y servicios conectados. Debido a esto, las empresas deben ser transparentes acerca de cómo manejan los datos, asegurarse de tener programas corporativos robustos para proteger la privacidad y, en última instancia, hacerse responsables de sus acciones.”
Chris Young, SVP-Security Business Group de Cisco: “Cada conexión en el Internet de las cosas trae nuevos riesgos que desafían a las empresas de seguridad para proporcionar mayores niveles de protección. Esto requiere un enfoque de seguridad centrado en la amenaza, con soluciones que funcionan en conjunto, la recopilación y el intercambio de inteligencia, con un enfoque coordinado sobre las amenazas. Ésta es la única manera de proteger lo que más importa. Con el Internet de las cosas cada empresa se convierte en una empresa de tecnología, y cada empresa se convierte en una empresa de seguridad.”
Chad Sweet, director general de seguridad y asesoría de la firma de riesgos The Chertoff Group: “Las empresas rara vez crecen de forma 100% orgánica en estos días. Fusiones y adquisiciones casi siempre son parte de la ecuación. Cada vez que adquieres una empresa, heredas todos sus ciberpecados. Si sus sistemas han sido infectados o violados, tú estarás infectado. De la misma manera que se hace una auditoría financiera para asegurarse de que los libros no hayan sido alterados, es necesario que haya una ciberauditoría para cerciorarse de que la propiedad intelectual clave que se está adquiriendo para generar ingresos futuros no ha sido comprometida.”
Edith Ramirez, presidenta de la Comisión Federal de Comercio: “Las empresas deben encriptar los datos sensibles. El cifrado adecuadamente implementado es cada vez más importante. La seguridad en línea para obtener información de los niños es especialmente preocupante. La Ley de Protección de la Privacidad Infantil en Línea (de Estados Unidos) da a los padres el derecho a controlar la recolección de información personal de sus hijos. Si los padres dan su consentimiento para su recolección, el sitio web o aplicación debe proporcionar seguridad razonable para esos datos, o pueden enfrentar el riesgo de una multa de la Comisión Federal de Comercio.”
Heather Adkins, gerente de Seguridad de la Información en Google: “Durante los últimos 20 años hemos estado tratando de poner al día sistemas operativos que fueron diseñados en los años sesenta y setenta. Tenemos que repensarlos a partir de cero. Por ejemplo, en lugar de correr una gran cantidad de programas y aplicaciones distintos, debemos hacer que los usuarios trabajen con una interfaz única, como un navegador, a través del cual se pueden hacer varias cosas. Eso reducirá la superficie de ataque: si tienes un gran castillo, será difícil defenderlo, pero si tienes un castillo más pequeño, será más fácil.”
Daniel Suárez, escritor de ciencia ficción, autor de Daemon and Influx: “Internet no fue pensado para ser una red segura; sin embargo, ha sido puesto al servicio de la banca en línea, el comercio de acciones, el control de sistemas, procesos industriales y más. Lo que necesitamos es un proyecto nacional para la construcción de una nueva infraestructura de seguridad que use un protocolo separado, hardware propietario, líneas de fibra óptica dedicadas y cifrado de gran alcance para eliminar a todos los intrusos. Eso no reemplazaría a Internet; sólo se utilizaría cuando la identidad y confianza sean fundamentales.”
Peter Singer, coautor de Cybersecurity and Cyberwar: What Everyone Needs to Know: “Lo más importante que podemos hacer es apartar nuestros incentivos humanos, organizaciones y mentalidad del aura de miedo e ignorancia que rodean la ciberseguridad para que trabajen al servicio de algo más efectivo: la resiliencia. La defensa y la disuasión no pueden ir muy lejos. Mientras usemos Internet enfrentaremos un riesgo. La clave está en cómo podemos lidiar con esas amenazas y recuperarnos rápidamente. ‘Mantener la calma y continuar’ debería ser el mantra de los sistemas que utilizamos y de nuestra psique.”
Christopher Soghoian, tecnólogo Principal de la ACLU: “Al menos en Estados Unidos no hay una agencia en el gobierno directamente responsable de la seguridad cibernética de los consumidores y de asegurarse de que los internautas estén seguros. Nadie obliga a las empresas a parchar vulnerabilidades para proteger a sus usuarios. Eso significa que todos estamos corriendo software caduco y que las empresas están almacenando demasiados de nuestros datos sensibles en formas inseguras. Necesitamos un potente regulador de la privacidad y seguridad de datos que pueda establecer reglas de seguridad de datos para las empresas y hacerlas cumplir.”
Joe Sullivan, responsable de seguridad en jefe de Facebook: “Cuando las tecnologías centrales de Internet están muy bien mantenidas, Internet funciona. Cuando no es así, los planes de seguridad mejor establecidos fallan. Si vamos a evitar los Heartbleed del futuro, necesitaremos infraestructura de seguridad capaz de mantenerse al día con miles de millones de personas más que viven en línea. Como industria, debemos invertir en tecnologías que brinden seguridad a las redes móviles, el tráfico del centro de datos, y a los sitios web y aplicaciones a los que las personas acceden todos los días. Tenemos que facilitar a los futuros desarrolladores de cualquier lugar que elijan opciones seguras desde el principio.”
