Agarrando los problemas de ciberseguridad y privacidad por los cuernos: ECT News Roundtable, Episode 3

 la ciberseguridad y la privacidad son enormes problemas, pero hay muchas soluciones posibles

Las amenazas de ciberseguridad y privacidad no se limitan al mundo tecnológico. Han arrojado su palidez sobre el mundo en general. Los virus informáticos, el malware y las filtraciones de datos se han convertido en algo común, la privacidad personal se ha convertido en una broma de mal gusto, y la guerra cibernética se perfila como una nube virtual. ciberdefensas y reconstruir cierta apariencia de privacidad personal. La mesa redonda de expertos en tecnología de la Red de Noticias de ECT discutió recientemente algunos de los avances en seguridad cibernética y protección de la privacidad, y si bien es posible que no se hayan decidido por ninguna solución global, identificaron varios rayos de esperanza.

Participaron en la conversación Laura DiDio , director en ITIC ; Rob Enderle, analista principal en Enderle Group ; Ed Moyle, socio de SecurityCurve ; Denis Pombriant, director gerente del Beagle Research Group ; y Jonathan Terrasi, un periodista tecnológico que se centra en la seguridad informática, el cifrado, el código abierto, la política y los asuntos actuales.

FORTALECIMIENTO DE LA SEGURIDAD CIBERNÉTICA

Los avances en el aprendizaje profundo y otras tecnologías ofrecen alguna esperanza para identificar y erradicar los riesgos de seguridad cibernética antes de que puedan causar daños irreparables, pero la mayoría de los remedios que nuestro panel mencionó involucran el comportamiento humano.

Para apuntalar los muros de ciberseguridad se está aumentando la competencia, ajustando las prioridades, trabajando juntos, estableciendo la responsabilidad y tomando medidas gubernamentales, dijeron.

Cerrando la brecha de habilidades

Los profesionales de la seguridad deberían buscar la mejor oportunidad para realizar mejoras radicales, sugirió Moyle, quien aboga por establecer una licencia para practicar, similar a una licencia médica.

"Esto es controvertido y posiblemente discutible no ayudaría a la escasez de habilidades ", reconoció. "Dicho esto, un buen 70 por ciento de los que trabajan en la profesión deberían estar haciendo otra cosa debido a la falta fundamental de habilidad y / o disposición para mantenerse al día".

Aunque DiLeio no solicitó específicamente un requisito de licencia. que "las corporaciones necesitan obtener el nivel adecuado de capacitación en seguridad para sus administradores de TI y seguridad, realizar pruebas de vulnerabilidad al menos una vez al año y mantenerse al día con todo el software y los parches".

La capacitación probablemente no debería sin embargo, se limitará a construir un ejército más calificado de profesionales de seguridad cibernética.

Lo único que podría tener el impacto positivo más dramático en la seguridad cibernética en general es la capacitación del usuario final, según Enderle.

"Los usuarios siguen siendo los más probables causa de una violación ", señaló.

" Al final del día, los propios usuarios finales constituyen la mayor amenaza y socavan la seguridad más que los piratas informáticos ", acordó DiDio.

" Las empresas deben brindar conciencia sobre la seguridad t "lloviendo para sus usuarios finales para que estén al tanto de las últimas estafas de phishing por correo electrónico, fraude de CEO, malware, ransomware y virus que están circulando", dijo. "Hay que cambiar las actitudes y la mentalidad de las personas para que piensen antes de hacer clic en un enlace potencialmente malo".

 Laura DiDio, analista de alta tecnología

Ajuste de prioridades

Seguridad la capacitación languidece en muchos aspectos negativos porque las organizaciones, o individuos, no han experimentado las repercusiones de un ciberataque de primera mano. O han sido víctimas, pero aún no lo saben.

"La gente tiene que dejar de pensar, 'Esto no me va a pasar,' No se puede practicar la seguridad en retrospectiva 20/20", advirtió DiDio. [19659003] "Lo más aterrador es que la mayoría de las organizaciones e individuos no tienen idea de que han sido pirateados hasta que ocurra un desastre, por ejemplo, el hacker está exigiendo un rescate y la organización está bloqueada de sus servidores. O la información personal del usuario individual se ha visto comprometida y los datos se pierden, son robados o destruidos ", dijo.

Moyle hizo una fuerte analogía entre la ciberhealth y la salud personal.

" Es como preguntarle a alguien la mejor manera de evitar enfermedades del corazón. Hay una respuesta para esto no es ciencia espacial. Sin embargo, la gente no quiere escucharlo ", dijo.

La respuesta, por supuesto, es centrarse en" dieta, ejercicio, no fumar o beber, mantener el estrés bajo, minimizar la cafeína, etc. ", continuó Moyle.

" Ya lo saben. Es la parte de ejecución w aquí la gente se cae porque conscientemente elige hacer lo contrario ", dijo. "Por cierto, esto no es una acusación: las personas evalúan y deciden que la amenaza no vale la pena adaptarla o cambiar su estilo de vida. Para el registro, yo también lo hago".

Aquí es donde existe una conciencia más profunda de entran en juego las consecuencias de la inacción.

"Cuando elijo tomar un estilo de vida poco saludable, impacta mi propia salud, aumentando mi susceptibilidad a las enfermedades del corazón, por ejemplo, pero realmente no afecta a nadie más". Anotó Moyle.

"Eso también es cierto en seguridad, en la medida en que estoy tomando decisiones que me afectan solo, por ejemplo, la seguridad de mi computadora personal y mis datos. El problema con el que nos encontramos es que el compromiso En muchos casos, el sacrificio de una parte beneficia la seguridad de otra ", señaló.

" La caracterización del problema por parte de Ed como pacientes que no siguen su prescripción de seguridad es acertada ", acordó Terrasi. [19659003] "La seguridad y la conveniencia existen en una relación de compensación, lo que significa que tru "La seguridad hará que la operación diaria de una empresa sea más complicada", dijo.

"Si soy una empresa con presencia en línea, las decisiones de seguridad que tomo me impactan en cierta medida, pero incluso en el peor de los casos, por ejemplo, una violación a gran escala, las consecuencias a largo plazo no son terriblemente severas para mí. Son terribles para otra persona ", dijo Moyle.

Para ilustrar su punto de vista, Moyle señaló los ataques TJX y Sony hace unos años, que parecían dañar severamente a las compañías. Un estudio sobre los efectos de esos ataques encontraron "un impacto negativo y estadísticamente significativo de las violaciones de datos en el valor de mercado de una empresa el día del anuncio de la violación. El efecto acumulativo aumenta en magnitudes durante el día siguiente al anuncio de incumplimiento, pero luego disminuye y pierde significación estadística ".

En otras palabras, desde la perspectiva de las compañías, los ataques ascendieron a" drama importante a corto plazo pero no tan grande tratar de ellos a largo plazo ", dijo Moyle." El impacto es, en cambio, para los clientes, quienes tienden a perdonar a la compañía pero aumentan su riesgo general, en algunos casos, significativamente, en un horizonte de tiempo mucho más largo. 19659003] "Se conocen hábitos efectivos de seguridad de la información, entonces, ¿por qué las compañías no los están poniendo en práctica? La respuesta es que las alternativas no son tan rentables", dijo Terrasi.

"El costo en la pérdida de beneficios y el acuerdo de demanda colectiva es simplemente menos que el costo de las medidas de seguridad para no ser pirateado en primer lugar. La economía llama a esto "costos de externalización", y es la misma dinámica que lleva a las empresas a contaminar. Es más fácil arrojar productos químicos en un río que cuidadosamente envíelos a un sitio de eliminación ".

 Denis Pombriant, autor, analista y consultor

Salga del bate de béisbol

Si las empresas están dispuestas a aceptar compensaciones que perjudican a otros pero causan poco daño según sus propios intereses, ¿qué sucede entonces?

"El remedio a la negativa voluntaria de las empresas a implementar la seguridad de la información adecuada es la misma que utilizamos para remediar su negativa a eliminar los desechos tóxicos, que es la regulación del gobierno", dijo Terrasi. 19659003] "Una vez que las multas sean más altas que el costo de ser pirateado, las compañías encontrarán rápidamente formas de no ser pirateadas", agregó.

"No vemos muchas compañías que puedan salirse con la suya proporcionando productos a sabiendas. que matan a sus clientes, y cuando lo hacen, ¿qué les sucede? Conociendo las consecuencias de tal acción, toman medidas para evitarla ", dijo Moyle.

" Por ejemplo, cada botella de aspirina vendida hoy en día tiene un sello a prueba de manipulaciones. ¿Por qué? Debido a que alguien manipuló algunos en los años 80 y la gente se asustó lo suficiente como para que los proveedores de eso priorizaran la contramedida lo suficiente como para que no pueda volver a ocurrir ", recordó.

" Si los clientes respondieran así a una violación, una en la que la empresa en cuestión debería saberlo o lo sabía mejor. Puedo garantizarle que tendríamos menos problemas de seguridad ahora ", agregó Moyle.

" Añadiría que necesitamos pasar de una defensa justa a una mucho más agresiva ofensiva ", dijo Enderle.

" Si podemos enfocar nuestros propios esfuerzos de ataque en aquellos que realizan los ataques y perseguir de forma más agresiva a los atacantes y destruir la economía de la industria del malware, podríamos tener un cambio sostenido ", sugirió.

"También debemos comunicar que cada pieza de hardware, software, correo electrónico que compre o cree es una opción de seguridad, y responsabilizar a las personas por el daño relacionado si eligen mal", agregó Enderle. "Probablemente podríamos hacer un progreso real . "

Llame a los federales [19659006] Puede ser que la educación del usuario, la capacitación profesional y la rendición de cuentas significativa no sean suficientes para tener un impacto positivo significativo en la ciberseguridad sin intervención del gobierno.

El gobierno debe tomar la amenaza en serio y financiar una respuesta adecuada, Enderle

"Hay algunos escenarios de miedo que se han compartido que indican que un golpe significativo en la red que duró 60 días nos mataría al 75 por ciento de nosotros. El gobierno no se está tomando esto lo suficientemente en serio ", enfatizó.

" Necesitamos un tratado internacional en línea con los Convenios de Ginebra sobre la guerra o el Pacto Kellogg-Briand que prohíbe la guerra como instrumento de política exterior ", sugirió Pombriant

"La tecnología por sí sola siempre nos fallará. Necesitamos que la mayoría del planeta no se sienta en desventaja al no participar en una guerra cibernética. De ahí la necesidad de un tratado, y cuanto antes mejor ", dijo.

Sin islas

" No hay una mejor cosa, ningún atajo o bala de plata que pueda mejorar drásticamente la seguridad cibernética. Debe ser un esfuerzo concertado realizado por usuarios finales, empresas corporativas, proveedores y reguladores que trabajan en concierto ", dijo DiDio.

 Ed Moyle, Asesor de seguridad

Los desarrolladores también tienen un papel que desempeñar , señaló Terrasi.

"Los dos hacks que se extendieron más allá de los círculos de seguridad de la información e hicieron un chapoteo en la conciencia pública – Specter / Meltdown y WannaCry – fueron ilustrativos de algunos de los desafíos más importantes que enfrenta la seguridad profesionales en este momento ", señaló.

" Ambos ataques muestran cómo las vulnerabilidades graves pueden acumularse generacionalmente si no se tiene el cuidado adecuado cuando el software se diseña inicialmente y cuando los desarrolladores de software son demasiado apresurados para dirigir su atención al próximo proyecto ", Dijo Terrasi.

" Esto es especialmente cierto con Specter / Meltdown, donde se descubrió que los trucos de aceleración de la CPU se jugaban fácilmente para socavar todo lo que funciona por encima del nivel de hardware, lo cual es básicamente ev todo ", continuó.

" Los profesionales de la tecnología tienen un control en su nivel en las capas de abstracción: los desarrolladores de aplicaciones entienden los errores de la aplicación, los desarrolladores del kernel entienden los errores del kernel, pero aún no han ideado un modelo confiable sobre cómo "atenuar los efectos colaterales de las capas más allá de aquellas en las que operan", señaló Terrasi.

"El ataque WannaCry demuestra una dinámica similar, pero entre las capas aguas arriba y aguas abajo en lugar de las capas de abstracción", observó.

" Está en Microsoft, por ejemplo, trabajar con clientes que pueden tener una razón legítima para usar Windows XP, como hospitales que usan dispositivos médicos que languidecieron en el proceso de aprobación reglamentario a medida que XP aceleró hacia su final de vida, y no dejarlos alto y seco ", argumentó Terrasi.

" La industria no pasará al siguiente nivel hasta que cada jugador aprenda a abordar mejor las necesidades de los socios y busque su opinión ", dijo.

" El hecho es que nosotros vivir en una sociedad interconectada y eso hace que la seguridad sea aún más desafiante ", señaló DiDio. "Todos, desde el CEO hasta el usuario final, deben tomarse en serio la seguridad cibernética".

RESCATE DE LA PRIVACIDAD

La privacidad está muerta, nuestros panelistas parecieron estar de acuerdo. Donde sus opiniones divergieron, hasta cierto punto, fue en si podría reencarnarse o si su pérdida realmente importa mucho.

Si percibieron el objetivo como tratar con la nueva privacidad normal o haciendo un esfuerzo heroico para revertir la marea, Cada uno de nuestros panelistas ofreció sugerencias concretas para abordar la situación. Entre ellos se encuentra la sensibilización del público, presionar por la regulación e implementar nuevas soluciones tecnológicas.

Agarrando

"Restaurar la privacidad una vez que se ha comprometido es como tratar de restaurar un rebaño de vacas una vez que se han comido. Creo que el caballo de la privacidad ha abandonado el granero, se mudó a México y quemó su identificación ", bromeó Enderle.

" Es demasiado tarde e innecesario ", dijo Pombriant.

" No necesitamos privacidad per se, necesitamos convenciones sobre cómo usar éticamente los datos disponibles. En este momento, vivimos en el Salvaje Oeste de la tecnología, y necesitamos influencias civilizadoras ", agregó.

" El mejor objetivo sería asegurar que la información no se use indebidamente en este momento ", coincidió Enderle.

Eso requiere" haciendo que las personas sean mucho más conscientes de lo que son sobre los riesgos relacionados ", agregó.

" Lo único que funcionaría es que las personas se enfermen de comprometer su privacidad. Esto impulsará la regulación, lo que a su vez obligará a las empresas para respetar la privacidad de los datos sobre la utilidad comercial de los datos ", dijo Moyle.

" Usted Hay que empezar por imponer limitaciones en la venta de información al consumidor y eso es muy, muy difícil. Para empezar, ¡me gustaría ver que el gobierno reduzca las llamadas automáticas! ", Dijo DiDio.

" A pesar de los nobles esfuerzos de algunos estados con visión de futuro, no existe una regulación significativa a nivel federal sobre cómo proteger la privacidad ". Terrasi señaló:

 Jonathan Terrasi, periodista técnico

"Esto no es principalmente intencional o al servicio de la vigilancia, sino más bien atribuido a la falta de experiencia y falta de iniciativa", dijo. 19659003] "Hace mucho tiempo que el Congreso abolió su órgano asesor científico y tecnológico, y cuando tuvieron la oportunidad de revivirlo votaron por no hacerlo", señaló Terrasi.

"La tecnología se mueve demasiado rápido para muchos consumidores y usuarios. El Congreso es un avance más lento que ellos, e incluso cuando se encargan de contemplar acciones, no están en condiciones de elaborar una legislación informada, dejándoles que abandonen la legislación o dejen que los cabilderos de la industria la escriban ", explicó.

Volviendo a la tecnología

"Si queremos devolver la agencia de la privacidad digital a los usuarios, la industria debe estar dispuesta a repensar algunos protocolos y estándares, y el gobierno a un alto nivel tiene que mantenerse al día con los avances técnicos y solicitar experiencia externa, no partidista ", dijo Terrasi.

La arquitectura que compromete la privacidad está arraigada desde una perspectiva técnica, señaló.

" Las direcciones IP son geolocalizables, las búsquedas de DNS no están encriptadas, aunque Google y Mozilla están trabajando para cambiar esto. Los metadatos viven en encabezados que no se pueden encriptar, y los teléfonos celulares confían en cualquier torre a través de la cual puedan conectarse y los hacen ping constantemente ", señaló Terrasi.

" Este no es el caso porque ninguno de los diseñadores fue negligente, per se , pero porque nunca anticiparon los casos de uso de hoy ", explicó.

" Internet, la Web, el correo electrónico y la comunicación celular tuvieron una adopción inicial escasa por parte de expertos en su mayoría técnicos cuyas necesidades cubrían estas tecnologías sin la necesidad de mucha sofisticación. En un momento en que los sitios web eran estáticos y no operaban en el comercio, ¿qué necesidad pensaría un ingeniero para el cifrado? ", Preguntó Terrasi.

" Cuando aparecen Amazon y la banca en línea, el cifrado se convierte en vida o muerte para aquellos servicios ", continuó.

" El crecimiento de Internet y otras tecnologías digitales ha dependido en parte de qué tan bien se pueden fijar las soluciones después del hecho, pero después de un momento, ya no son suficientes. Al principio puedes llenar baches, pero eventualmente tienes que romper el asfalto y volver a pavimentar la calle. Estamos en la etapa de repavimentación de protocolos que respetan inherentemente la privacidad ", dijo Terrasi.

 Rob Enderle, analista técnico

" Ciframos muy poco de los datos que usamos, y puedo ver Llegará un momento en que el cifrado es estándar. Oracle ya proporciona cifrado en su nube, y eso es algo que debemos buscar ", sugirió Pombriant.

" Añadiría que debemos dejar de hacer cosas estúpidas como tratar de obligar a los proveedores a crear y suministrar a la policía con claves de cifrado. . La seguridad de estas organizaciones no es absoluta, y una clave robada sería potencialmente más catastrófica que la mayoría de los delitos que intentan mitigar ", señaló Enderle.

" El problema no es tanto que los datos no sean t encriptado. "La mayoría del tráfico web ahora está encriptado, lo que no era cierto hace solo un par de años", señaló Terrasi.

El problema es que "no se mantiene seguro cuando llega a quien lo recoge". La mayoría de las veces, los datos se cifran cuando se mueven a través del cable, pero los datos arquitectónicos tienen que ser descifrados para ser utilizados, y se usan todo el tiempo ", dijo.

" La privacidad de la mayoría de las personas que viven hoy es perdido irrevocablemente, pero eso no significa que no debamos tratar de construir nuevas arquitecturas y protocolos para proteger la privacidad de quienes nos persiguen, o de nuestro yo futuro, a medida que cambiamos con el tiempo y los datos antiguos sobre nosotros se vuelven obsoletos ", Argumentó Terrasi.

" Si impongamos requisitos que obliguen a las empresas a ser transparentes con los usuarios sobre los datos que recopilan, y construyan una nueva infraestructura de software de Internet – piense en protocolos – que generen más privacidad por defecto ", sugirió , "podemos ponernos en una mejor posición en el futuro"


Leave a Reply

Your email address will not be published. Required fields are marked *