Cómo gestionar los riesgos de ciberseguridad

El ciberespacio, que comenzó su desarrollo orgánico como dominio global, ha mostrado recientemente signos crecientes de fragmentación. Esta tendencia ya lleva algunos años entre nosotros, pero hoy culmina en el concepto de “soberanía digital” que, de manera más extrema, puede adoptar la forma de proteccionismo digital.

El resultado es un mundo interconectado en el que las líneas de separación legal se trazan por capricho o por instinto. En un mundo así, la verdadera motivación detrás de la adopción de medidas proteccionistas no está nada clara y fomenta un clima de incertidumbre y preocupación en materia de ciberseguridad.

Al enfrentar los resultados del creciente proteccionismo (y sus efectos contundentes), como imputaciones de mala conducta sin evidencia y acusaciones basadas puramente en riesgos teóricos, hemos estado desarrollando continuamente una metodología universal para la evaluación de productos de ciberseguridad, sin dejar de ser fieles a nuestro principio clave: ser máximamente transparentes y abiertos sobre cómo hacemos nuestro trabajo.

Convencidos de que la confianza y la tranquilidad deben guiar a la industria, hace varios años lanzamos nuestra Iniciativa Global de Transparencia, que introdujo una serie de medidas para incorporar expertos externos que validen la confiabilidad de nuestras soluciones y operaciones comerciales, incluidas revisiones del código fuente de nuestros productos, así como de nuestras reglas de detección de amenazas.

Única en alcance y valor práctico, esta iniciativa demostró nuestra actitud cooperativa y determinación para abordar cualquier posible inquietud sobre el funcionamiento de nuestras soluciones; sin embargo, todavía enfrentamos preocupaciones relacionadas con la confiabilidad de nuestros productos y que, generalmente, surgen de factores externos como conjeturas geopolíticas.

Esto nos obligó a intentar una vez más hacer un esfuerzo adicional en materia de rendición de cuentas y sugerir a las partes que expresan preocupaciones sobre la credibilidad de las soluciones de Kaspersky –incluso en Europa y Estados Unidos– un marco aún más exhaustivo que evaluaría de forma transparente la integridad de nuestras soluciones de seguridad a lo largo de su ciclo de vida.

Los pilares clave de la metodología de evaluación de la ciberseguridad que desarrollamos (que, dicho sea de paso, creemos que puede formar la base de una metodología para toda la industria), incluyen: (i) la localización del procesamiento de datos (ya estamos aplicando este enfoque en la entrega de nuestro servicio de Managed Detection and Response (MDR) en América Latina); (ii) la revisión de los datos recibidos; y (iii) el análisis de los datos y actualizaciones que entregamos a las máquinas de los usuarios (como parte de las actualizaciones de software y de la base de datos de amenazas).

Al igual que en la Iniciativa Global de Transparencia, el elemento central de esta estrategia es la contratación de un revisor externo para verificar los procesos y soluciones de la empresa. Sin embargo, lo nuevo de esta metodología es el alcance y la profundidad de dichas revisiones.

En particular, para mitigar cualquier riesgo potencial para los datos de nuestros clientes, sugerimos contratar a un revisor externo autorizado para evaluar periódicamente los datos recibidos con herramientas de análisis de datos y plataformas de procesamiento de los mismos para asegurarse de que no se transfiere a Kaspersky información de identificación personal u otros datos protegidos, así como para confirmar que los datos recuperados se utilizan exclusivamente para la detección y protección contra amenazas y se manejan adecuadamente.

Como siguiente paso en el ámbito de los productos, el marco de mitigación prevé la revisión periódica por parte de terceros de las actualizaciones de nuestras bases de datos de amenazas y otros desarrollos de código de software, a fin de mitigar los riesgos de la cadena de suministro para nuestros clientes.

Esto se agregaría a nuestro riguroso y seguro proceso de desarrollo de software actual, centrado en mitigar los riesgos, incluyendo el de tener a un intruso en el sistema, para garantizar que nadie pueda añadir código no autorizado a nuestros productos o bases AV.

Pero, para mejorar aún más las garantías de seguridad, la participación de un revisor externo en tiempo real tiene como objetivo evaluar la seguridad del código desarrollado por los ingenieros de Kaspersky, sugerir mejoras, identificar riesgos potenciales y determinar las soluciones adecuadas para ellos.

Incluso me atrevería a decir que sugerimos una revisión del código en su forma absoluta que incluiría: (i) requerir la firma del revisor en todas las actualizaciones entregadas a las máquinas de los usuarios después de que el código subyacente haya sido confirmado y creado; y (ii) acceso a una copia del entorno de creación de software de la empresa que refleja el utilizado en Kaspersky, incluidas instrucciones y scripts de compilación, documentación de diseño detallada disponible y descripciones técnicas de los procesos y la infraestructura.

Además, se puede proporcionar a un tercero independiente de confianza acceso a las prácticas de desarrollo de software de la empresa, que cubrirían toda la documentación de seguridad relevante: la definición de los requisitos de seguridad, el modelado de amenazas, la revisión de código, la verificación estática y dinámica del código, las pruebas de penetración, etc.

De hecho, estas son las medidas de mitigación que hemos presentado para su discusión ante el Departamento de Comercio de Estados Unidos, lo que confirma, una vez más, nuestra apertura al diálogo y nuestra determinación de brindar el máximo nivel de garantías de seguridad.

Sin embargo, nuestra propuesta fue simplemente ignorada. Esto me lleva a creer que la razón se basa en las ideas preconcebidas del gobierno estadounidense. Parece que, en lugar de evaluar nuestra propuesta por su eficacia para abordar los riesgos, se le examinó en busca de una excusa para rechazarla.

Si bien tenemos que admitir que una vez más nos enfrentamos a un acto de proteccionismo digital, sé con certeza que el mundo necesita urgentemente una estrategia global de gestión de riesgos de ciberseguridad. Es crucial poder abordar el panorama de amenazas en evolución de manera efectiva y garantizar un enfoque unificado para gestionar los riesgosen diversos ámbitos de la seguridad de TI.

Este enfoque también podría ayudar a evitar decisiones con una visión limitada que priven a millones de usuarios de su libertad de elección en cuanto a una protección de ciberseguridad creíble y la creación de restricciones artificiales en el intercambio de datos entre profesionales de la ciberseguridad. Permitamos que estos expertos se concentren en su importante trabajo sin la carga adicional de la geopolítica, que sólo beneficia a los ciberdelincuentes.

En un mundo interconectado, donde las ciberamenazas trascienden las fronteras, una estrategia global es fundamental para reforzar las defensas de ciberseguridad, mejorando la confianza y promoviendo un ecosistema digital más seguro.

Nuestro marco abre la puerta a un debate en la industria sobre cómo debería ser una evaluación universal de la ciberseguridad en la cadena de suministro, con el objetivo final de construir una cadena de confianza y, en consecuencia, un mundo más seguro.

forbes

Facebook
Twitter
LinkedIn
WhatsApp

Actualidad

Inscribete en nuestros cursos Online