Recientemente, el Dr. Ian Levy, director del Centro de Ciberseguridad Nacional (NCSC) del Reino Unido, dio un adelanto de las iniciativas fundamentales incluidas en la nueva estrategia nacional de ciberseguridad del gobierno británico. Esta estrategia se presenta un año después de que George Osborne anunciara que el Reino Unido va a invertir 1.900 millones de libras esterlinas en ciberseguridad para 2020 y sugiere que la ciberdefensa está surgiendo rápidamente como una de las principales prioridades tanto de organismos gubernamentales como de empresas.
A continuación se resumen los tres principales objetivos de la ciberseguridad destacados en la guía estratégica de cinco años y lo que significan para las organizaciones británicas.
Reemplazar la retórica alarmista con orientación práctica
Aunque el sector de la ciberseguridad continúa innovándose, el mercado aún está saturado de retórica inútil, alarmista y confusa. “La principal amenaza futura que enfrentamos es que sigamos hablando de la ciberseguridad del modo que lo hacemos ahora”, recalcó Levy la semana pasada.
Con demasiada frecuencia, nos distraemos con las tácticas de estafas y fraudes más recientes, cuando nos deberíamos concentrar en brindar seguridad eficaz y exhaustiva a las empresas y los gobiernos, y en comunicar esas soluciones de manera clara y útil.
El principal objetivo del centro y de la estrategia consiste en brindar “un lugar central para todo”, señaló Levy, el cual incluya desde “información... sobre cómo diseñar sistemas, establecerlos y operarlos, hasta la forma en que nosotros podemos ayudar si se es víctima de algún ataque”.
Aumentar la transparencia entre los gobiernos y el sector privado
Otro de los objetivos de la ciberseguridad clave de la estrategia, consiste en derribar las barreras entre los gobiernos y las empresas privadas. Cuanta más información compartamos respecto a las tácticas de ataque y las estrategias de defensa actuales, mejor estaremos todos.
“Hagamos esto de forma pública, hagámoslo de manera transparente, publiquemos los datos y publiquemos lo que hemos hecho, las repercusiones que ha tenido y el costo que ha implicado”, apuntó Levy. “Quiero que la gente realmente comprenda lo que es el panorama de amenazas de ciberseguridad, en qué consisten sus verdaderos riesgos y cómo protegerse mejor”.
Esto se aplica particularmente al sector público, el cual de forma tradicional ha dependido de sistemas arcaicos que responden con lentitud. Al derribar esas barreras también ayudaremos a elevar el nivel de la narrativa de la seguridad desde ser un problema centrado en TI hasta pasar a ser una iniciativa universal.
Eliminar las amenazas de ciberseguridad persistentes y abordables
El correo electrónico sigue siendo el principal vector de amenazas de ciberseguridad con algunas de las peores brechas de datos de los últimos tiempos. Los recientes ataques perpetrados en contra del Comité Nacional Demócrata (DNC) y de la Oficina de Administración de Personal (OPM) en los Estados Unidos fueron el resultado directo de un sencillo mensaje de correo electrónico de phishing.
La visión que tiene el NCSC de establecer una protección robusta no incluye la implementación de nuevas tácticas de defensa que sean relucientes y complejas. En su lugar, se concentra en las bases al invertir en las mejores prácticas de comprobada eficacia. Una de las más importantes incluye el empeño de implementar la normativa de autenticación de correo electrónico DMARC (Domain-based Message Authentication Reporting & Conformance) en cada uno de los 5.700 dominios gubernamentales.
Al recobrar el control de sus dominios de confianza, el gobierno tiene la finalidad de “reprimir las cuentas de correo electrónico falsas que se emplean en los fraudes” y de que no sea fácil cometer phishing en el Reino Unido. Aunque es difícil implementar DMARC en entornos complejos, constituye un paso fundamental crítico en la lucha contra la suplantación de dominios en cualquier organización.
El organismo HMRC ha sido uno de los primeros en adoptar DMARC y ha visto formidables resultados con un método que comienza con la autenticación de correo electrónico. Ed Tucker, director de ciberseguridad de HMRC, ha señalado: “En pocas palabras, la norma DMARC funciona. Con un método combinado que combate el fraude por correo electrónico, DMARC representa la piedra angular de los controles técnicos que los remitentes pueden implementar en la actualidad para recuperar la confianza y el control del canal de correo electrónico en favor de las marcas legítimas y los consumidores”.
Alteración de la cibernomía
Con las vulneraciones en su nivel máximo histórico y con la confianza en la tecnología digital en su nivel mínimo sin precedentes, los sectores privado y público comparten un enemigo común en lo que respecta al cibercrimen. Lo que el gobierno británico ha expuesto en su Estrategia Nacional de Ciberseguridad es la alteración del modelo comercial cibernómico actual a fin de que el Reino Unido sea un objetivo inflexible y de que se aumenten los costos y los riesgos para los criminales.
Dado que cada organización es una víctima potencial, el sector privado debe centrarse en los Fundamentos cibernéticos perfilados por el NCSC. Mediante la combinación de controles de personas, procesos y tecnologías, las empresas podrán reducir su exposición a los ciberataques más complejos al anteponer la protección a la detección y la respuesta.