Normas de seguridad cibernética: Del concepto a la implementación
Paul Nicholas – Director Senior, Computación Confiable
El año pasado, Microsoft presentó seis normas de seguridad cibernética con el objetivo de reducir los conflictos en el ciberespacio y proteger la confianza global en la tecnología. Estas normas ofrecen consideraciones para limitar la actividad del Estado-nación en contra de las TIC comerciales del mercado de masas; manejo responsable de las vulnerabilidades de las TIC y las armas cibernéticas; la conducta apropiada de las operaciones ofensivas en el ciberespacio; y el apoyo a la gestión del sector privado de los eventos cibernéticos. Sin embargo, aunque seguimos siendo el único jugador de la industria en ofrecer una propuesta en este espacio, el diálogo sobre las normas de seguridad cibernética ha evolucionado incluso desde entonces.
De hecho, las partes interesadas del gobierno, los académicos y la sociedad civil han presentado una serie de propuestas de normas de seguridad cibernética, tratando de abordar un espectro de desafíos causados por la explotación de los sistemas de las TIC. Si bien las propuestas no son uniformes, ofrecen un nivel de solapamiento que ha supuesto que la discusión ha comenzado lentamente a evolucionar, de una discusión conceptual sobre los derechos y responsabilidades de los Estados-nación, hacia normas más claramente articuladas. Las propuestas clave que impulsan el debate son:
-
- El Código de Conducta redactado por la Organización de Cooperación de Shanghái en enero de 2015;
-
- Propuesta del Gobierno de S. de mayo de 2015;
-
- Recomendaciones formuladas por el Grupo de expertos gubernamentales de las Naciones Unidas en junio de 2015;
-
- Acuerdo entre los Estados Unidos y China en septiembre de 2015 en relación con el robo cibernético de la propiedad intelectual, colaboración para el cumplimiento de la ley, y otras medidas de seguridad cibernética; y
-
- Comunicado del G20 sobre el robo cibernético de la propiedad intelectual, la privacidad y la colaboración internacional para la seguridad cibernética.
Sin embargo, aun cuando estas propuestas comienzan a echar raíces entre los gobiernos, muchos cuestionan la viabilidad de su implementación. Los gobiernos han reconocido la importancia fundamental del derecho internacional en las normas de seguridad cibernética pero los instrumentos jurídicos internacionales a menudo no pueden abordar la complejidad del ciberespacio, sobre todo en escenarios de conflicto de baja intensidad y de no conflicto. La atribución de los ataques de seguridad cibernética es posiblemente el ejemplo más destacado de esta brecha y se ha argumentado que, sin ella, sobre todo si un ataque fue perpetrado por un gobierno o sus agentes, las normas de implementación carecerán de responsabilidad y por lo tanto carecerán de credibilidad como herramienta de política.
La atribución no es imposible, pero puede ser difícil tanto desde una perspectiva técnica como de relaciones internacionales. Esta última representa un desafío típico en las relaciones diplomáticas, debido a que las naciones-estado podrían optar por no actuar en particular inteligencia, por razones no relacionadas con la seguridad cibernética (en este caso). Esta falta de acción podría, a largo plazo, debilitar el propio marco. Desde una perspectiva técnica, el sector privado ha estado analizando los ataques y sus orígenes desde hace muchos años con el fin de defender el entorno en línea – independientemente de si los ataques podrían haber sido patrocinados o realizados por un estado. De hecho, varias empresas del sector de las TIC mundiales, incluyendo a Microsoft, han adoptado políticas y prácticas diseñadas para alertar a los usuarios de servicios en línea populares cuando parece que los estados-nación se han dirigido a ellos.
En nuestra opinión, estas políticas y prácticas pueden sentar las bases para una futura colaboración con otras partes interesadas de las normas para impulsar la responsabilidad en el comportamiento del Estado-nación, y en última instancia para proteger a los usuarios de las TIC de los Estados-nación que pudieran comprometer sus datos. Tal como lo hemos indicado, creemos que la implementación sólo es posible como un proceso de dos etapas que implica tanto la evaluación técnica de la naturaleza del ataque como la determinación política acerca de la responsabilidad del Estado-nación. Estos son los temas que vamos a abordar aquí y en un documento que publicaremos en los próximos meses.