Detener las filtraciones de datos requerirá la ayuda de los gobiernos

Martin Child/Getty Images

No pasa un mes sin que una gran empresa sufra un ciberataque. A menudo patrocinadas por el estado, estas infracciones son insidiosas, difíciles de detectar y pueden implicar información personal relacionada con millones de personas. Está claro que los enfoques actuales para proteger los datos confidenciales son insuficientes. Tenemos que reorientar las expectativas sobre el papel del sector privado en la ciberseguridad. Como el el riesgo de ciberataques se ha apreciado mejor, vemos un enfoque cada vez más punitivo en hacer que las empresas estadounidenses sean las únicas responsables.

Varias leyes superpuestas a nivel nacional y estatal exigen que las empresas tengan seguridad «razonable», un concepto prácticamente indefinido y esquivo, especialmente dado que las amenazas y las medidas defensivas disponibles evolucionan constantemente. Y las acciones de aplicación de la normativa y las demandas tras los ciberataques declaran que cualquier vulnerabilidad de seguridad explotada es «irrazonable» de hecho, sin una evaluación significativa del programa general de seguridad de la empresa ni reconocer que la empresa ha sido víctima de un delito.

Este enfoque se basa en una expectativa irrazonable de que todas las empresas de los Estados Unidos tengan los recursos y la capacidad para defenderse incluso del ciberactor más sofisticado. Deberíamos dejar de lado las leyes que se centran en encontrar a las empresas culpables, en lugar de ser víctimas de una ciberactividad delictiva. Este marco no es justo ni eficaz para mejorar nuestra ciberseguridad colectiva.

Según nuestra experiencia, a pesar del aumento del gasto en seguridad, la mayoría de las empresas se enfrentan a importantes obstáculos para gestionar con éxito el ciberriesgo. Aunque han surgido algunos estándares de seguridad del sector, son vagos y las soluciones de seguridad disponibles rara vez son llave en mano. Más bien, una seguridad eficaz requiere la aplicación de un juicio significativo en el contexto de arquitecturas de redes corporativas únicas y complejas, así como la capacidad de adaptarse a medida que las soluciones de seguridad y las amenazas evolucionan. Lamentablemente, la reserva de talentos con la experiencia y los conocimientos cibernéticos necesarios es limitada. En la actualidad, simplemente no es posible que todas las empresas estadounidenses tengan suficiente experiencia cibernética interna para gestionar el riesgo.

El desafío se ve agravado por los recursos y la sofisticación que los ciberatacantes estatales y delictivos pueden utilizar. En ningún otro ámbito esperamos que todas las empresas se defiendan de las agencias militares y de inteligencia extranjeras o de las sofisticadas amenazas criminales.

Aunque se ha centrado significativamente en compartir información sobre amenazas, tanto dentro del sector privado como entre el gobierno y el sector privado, ese intercambio sigue siendo incompleto en el mejor de los casos, especialmente en lo que respecta a las técnicas, tácticas y procedimientos que emplean determinados actores. Como resultado, las empresas suelen carecer de conocimientos suficientes sobre las amenazas específicas a las que se enfrentan para poder defenderse mejor.

Dados estos y otros factores, las empresas que sufren ciberataques son y deben ser tratadas principalmente como víctimas. Cuando un banco sufre un robo físico, no pensamos en culparlo ni avergonzarlo, aunque casi siempre hay alguna precaución adicional que el banco podría haber tomado para evitar el ataque (como un oficial de policía estacionado en cada ventanilla o limitar el acceso de los clientes a los cajeros). Si bien se espera que los bancos implementen algunas medidas de seguridad, no se espera que esas medidas impidan por completo los ataques delictivos, y los bancos no son vilipendiados si no hubieran tomado todas las precauciones disponibles que podrían haberlos impedido. Sin embargo, en el contexto cibernético, una empresa que sufre una infracción se enfrenta a un riesgo sustancial de ser objeto de múltiples investigaciones reglamentarias y demandas colectivas, todas centradas en culpar a la organización por no haber adoptado medidas de seguridad adecuadas para impedir el ataque criminal perpetrado por otros, independientemente de la solidez del programa general de seguridad de la empresa o del importe de la inversión que haya realizado en seguridad.

Esa perspectiva no solo es injusta, sino contraproducente. En lugar de centrarse en solucionar el incidente, restablecer las operaciones, mejorar la seguridad en el futuro y mitigar los posibles daños, una empresa que se encuentre en medio de una ciberviolación también tiene que preocuparse por el registro que se está creando: lo que se anota, si los abogados participan lo suficiente en la investigación forense y otras consideraciones relacionadas únicamente con la protección contra la responsabilidad. Además, el miedo a una posible responsabilidad posterior limita la información que una empresa está dispuesta a compartir: puede que no revele el incidente en absoluto, y mucho menos cómo y por qué el intruso pudo evadir las medidas de seguridad existentes, lo que priva a la comunidad en general de la oportunidad de aprender la lección del incidente, como ocurre en la aviación y otros sectores.

Aunque el Ley de ciberseguridad de 2015 proporcionó algunas protecciones, son limitadas y no se han traducido en un aumento sustancial del intercambio de información. Como resultado, nuestra ciberseguridad colectiva ha disminuido: no aprovechamos la mejora de la seguridad o la eficiencia que generaría un enfoque más colaborativo de la inteligencia y la defensa de las amenazas.

Tenemos que reorientar nuestro enfoque de ciberseguridad. Deberíamos imponer menos carga a las empresas individuales centrándonos más en las formas sistémicas de abordar las ciberamenazas. En parte, ese enfoque requeriría que el gobierno federal desempeñara un papel más activo en la ciberdefensa. El gobierno tiene una serie de ventajas comparativas con respecto al sector privado, como la capacidad de recopilar y explotar información de inteligencia y de coordinarse internacionalmente con otros gobiernos y organismos encargados de hacer cumplir la ley. El gobierno debería hacer más para que el sector privado se beneficie de estas ventajas.

Por ejemplo, el gobierno debería dedicar más recursos a recopilar información sobre posibles ciberataques contra entidades privadas, especialmente por parte de actores estatales nacionales, y luego tomar medidas para ayudar a prevenirlos, no simplemente notificar a las empresas que se cree que están en riesgo y dejar que ellas, con información imperfecta e incompleta, investiguen y respondan. A medida que el Departamento de Seguridad Nacional asuma mayores responsabilidades a la hora de identificar y minimizar los riesgos de ciberseguridad para la economía estadounidense, debería publicar directrices operativas pragmáticas y rentables para las empresas sobre cómo defenderse de la evolución de los riesgos.

También tenemos que centrarnos más en incentivar las mejoras de seguridad en los puntos del ciberecosistema que puedan tener un efecto de escala y proteger a grandes grupos de usuarios y empresas, en lugar de dejar cada una por sí sola. A nivel colectivo, nos va mejor cuanto más puedan los proveedores de software utilizar prácticas de codificación seguras y, por lo tanto, evitar una vulnerabilidad, en lugar de exigir a cada usuario que instale un parche en algún momento. También nos servirá mejor si más proveedores de servicios de Internet mitigan los efectos de una botnet filtrando el tráfico para limitar la suplantación de IP, en lugar de obligar a todos los objetivos a defenderse de un ataque de denegación de servicio.

Es probable que se necesiten reformas legales y políticas para lograr estos objetivos y alentar a las empresas a colaborar con el gobierno en estas iniciativas. Esta colaboración es poco probable, a menos que la ley establezca mayores protecciones de confidencialidad y responsabilidad que las disponibles actualmente para las empresas que toman medidas para ayudar a nuestra ciberdefensa colectiva. Sin embargo, con las protecciones adecuadas, es posible que las empresas estén más dispuestas a unir fuerzas con el gobierno de esta manera y con otras para reducir el ciberriesgo.

Si bien no estamos negando que tenga sentido imponer algunas obligaciones de ciberseguridad a las empresas individuales, esas obligaciones deben ser razonables y claras. Las empresas que cumplan un conjunto definido de requisitos basados en el riesgo, que podrían desarrollarse mediante un proceso colaborativo con múltiples partes interesadas, deberían tener un refugio seguro contra la responsabilidad, reconociendo que son víctimas, no autores, de una ciberactividad maliciosa.