Normas de seguridad cibernética para los estados-nación y la industria mundial de TIC

Publicado el 23 de junio de 2016 por Scott Charney
– Vicepresidente Corporativo de Informática Confiable

  •  

    El día de hoy tengo el placer de compartir un nuevo documento sobre las normas de seguridad cibernética para los estados-nación y la industria de la tecnología de la información y las comunicaciones (TIC) globales, “De la articulación a la implementación: Cómo habilitar el avance de las normas sobre seguridad cibernética. Esta publicación es un reflejo de nuestros esfuerzos continuos para promover la confianza en el entorno global de TIC a través del desarrollo de las “reglas del camino” para los estados-nación que participan en operaciones cibernéticas, así como para los agentes de la industria afectados por estas actividades. Nuestro objetivo es contribuir al desarrollo de marcos de trabajo y prácticas que protejan a las personas y empresas de los efectos de las operaciones cibernéticas patrocinadas por estados.

    Las compañías globales de TIC entienden muy bien que los productos de tecnología y servicios en línea, incluyendo la infraestructura de Internet, suelen ser el campo de batalla de conflictos cibernéticos y conducto para otros ataques lanzados por los gobiernos y sus representantes. (Aprenda más sobre nuestros puntos de vista de la actividad de gobiernos en línea como una categoría de amenaza cibernética.) Debido a este fenómeno, Microsoft cree que las normas de seguridad cibernética no son sólo para los gobiernos y la industria mundial de TIC, también se deben asumir compromisos que mejoren la confianza en los sistemas de TIC. Esta perspectiva se ve reforzada por el Grupo de Expertos Gubernamentales de la ONU, un grupo de trabajo intergubernamental encargado de desarrollar normas de seguridad cibernética, que pide al sector privado y la sociedad civil contribuir en el desarrollo de las normas de seguridad cibernética.

    En nuestro nuevo documento, hemos presentado un marco de trabajo tripartita para mantener el diálogo actual de las normas sobre seguridad cibernética: normas ofensivas, defensivas y de la industria. Las normas ofensivas son la competencia de los estados-nación, ya que estas normas se refieren a la moderación en la realización de operaciones cibernéticas. Las normas defensivas son relevantes tanto para los actores gubernamentales como para los no gubernamentales, debido a que estas normas abordan medidas defensivas contra las actividades de un estado-nación en el ciberespacio. Las normas de la industria también son importantes para los gobiernos y el sector privado, pero se centran en abordar el papel de la industria en la reducción de los riesgos que enfrentan los usuarios de tecnología de la actividad de un estado-nación en el ciberespacio.

    Creemos que las normas deben avanzar en objetivos comunes siempre que sea posible, independientemente de si las normas se centran en la ofensiva, defensiva o industria. La siguiente tabla proporciona una vista completa de las normas propuestas por Microsoft para los estados-nación, con nuestras correspondientes propuestas de normas para la industria. Si bien existe una fuerte estructura complementaria para las normas del estado-nación y de la industria, éstas varían en dos casos importantes: los estados-nación poseen la capacidad de crear efectos masivos a través de actividades cibernéticas ofensivas; y la industria mundial de TIC tiene la posibilidad de aplicar soluciones (parches) a todos los clientes, incluso en caso de conflicto entre dos o más gobiernos. (Aprenda más sobre nuestras normas propuestas para los estados-nación.)

     

    Estados-nación

    Industria global de TIC

    Mantener la confianza

    Los estados no deben dirigirse a compañías de TIC para insertar vulnerabilidades (por ejemplo, backdoors) o tomar acciones que afecten de otra forma la confianza pública en productos y servicios

    Las compañías globales de TIC no deben permitir ni habilitar a los estados-nación para que tengan un impacto adverso en la seguridad de productos y servicios de TIC comerciales para mercados masivos (por ejemplo, mediante backdoors).

    Enfoque coordinado para manejar la vulnerabilidad

    Los estados deben tener una política clara basada en principios para manejar las vulnerabilidades a productos y servicios que reflejen un mandato sólido para reportarlos a proveedores, más que ponerlos en pila, comprar, vender o explotarlos.

    Las compañías globales de TIC deben adherirse a prácticas coordinadas de divulgación para manejar las vulnerabilidades de productos y servicios de TIC.

    Detener la proliferación de vulnerabilidades

    Los estados deben comprometerse con actividades de no proliferación con relación a las armas cibernéticas.

    Las compañías globales de TIC no deben traficar vulnerabilidades cibernéticas para propósitos ofensivos, ni deben seguir modelos de negocios que involucren la proliferación de vulnerabilidades cibernéticas para propósitos ofensivos.

    Reducir el impacto de los ataques de estados-nación

    Los estados deben limitarse en el desarrollo de armas cibernéticas y asegurar que las desarrolladas estén limitadas, sean precisas y no reutilizables.

    Las compañías globales de TIC deben colaborar para defenderse proactivamente contra ataques de estados-nación y remediar el impacto de esos ataques.

    Evitar eventos masivos

    Los estados deben limitar su participación en operaciones de ofensiva cibernética para evitar la creación de un evento masivo.

    No hay una norma correspondiente para la industria global de TIC.

    Esfuerzos de respuesta a apoyos

    Los estados deben apoyar los esfuerzos del sector privado para detectar, contener, responder y recuperarse de eventos en el espacio cibernético.

    Las compañías globales de TIC deben apoyar los esfuerzos del sector público para identificar, evitar, detectar, responder y recuperarse de eventos en el espacio cibernético.

    Crear soluciones (parches) para clientes a nivel global

    No hay una norma correspondiente para los estados-nación.

    Las compañías globales de TIC deben emitir parches para proteger a los usuarios de TIC, sin importar el atacante y sus motivos.

     

    Reconocemos que es poco probable que las normas de seguridad cibernética sean eficaces como un instrumento de política sin un mayor desarrollo de los procesos de atribución de ataques cibernéticos. En consecuencia, nuestro documento esboza los retos actuales en torno a la atribución de los ataques cibernéticos, y proponemos un foro público y privado para hacer frente a la atribución de los ataques cibernéticos graves que implicarían un grupo globalmente diverso de expertos técnicos, sujeto a revisión por pares. De hecho, el desarrollo de normas de seguridad cibernética requerirá nuevas formas de cooperación y nuevos mecanismos para superar los desafíos que son únicos en el ciberespacio. Serán esenciales nuevos modelos de asociación público-privada, a nivel mundial.

    A medida que los gobiernos comprometan cada vez más recursos en capacidades cibernéticas ofensivas, la industria mundial de TIC debe fortalecer su determinación, y tomar medidas activas para prevenir la explotación de usuarios mediante la adhesión a las normas de la industria. Debemos subir el estándar en nuestras capacidades de defensa para disuadir a los estados-nación de la focalización de usuarios de la tecnología. Esperamos que estas normas propuestas pongan al gobierno y la industria en un camino para una discusión más amplia, mejorando así la confianza entre gobiernos, empresas y los usuarios de tecnología.

     

     

    Original: https://blogs.microsoft.com/on-the-issues/2016/06/23/cybersecurity-norms-nation-states-global-ict-industry/#sm.0000ke1ten13fpfmcxdakdlaq5g59