Dan Geer,
experto en seguridad informática, propone un mandato aplicable a todo
el sector empresarial, según el cual las empresas estarían obligadas a
revelar hacks y brechas de seguridad, al igual que ocurre con el control
de
enfermedades.
Durante su discurso en la reciente Conferencia Black Hat, Geer sugirió
aplicar a las empresas requisitos obligatorios, que deberían ser más
estrictos que la normativa actual, escribe la publicación VPN Creative.
"¿No tendría sentido tener un régimen de notificación obligatoria de los fallos de seguridad cibernética?",
preguntó retóricamente el experto, señalando que las empresas deberían
enfrentar cargos criminales si evitan
reportar situaciones de riesgo
cibernético a las autoridades.
Sugirió que los ataques y brechas "por encima de cierto umbral"
simplemente deberían ser reportados a organismos competentes. En tal
sentido, hizo referencia a procedimientos internos en la Fuerza Aérea
estadounidense, donde los informes sobre hackeo son tratados como si
fuesen emergencias de aviación.
Recurriendo a una metáfora, Geer comparó el control de riesgos
informáticos con el control de
enfermedades, donde la finalidad es
prevenir brotes y evitar el contagio a gran escala. Indicó que la
comparación es válida debido a la velocidad con que los virus
informáticos pueden propagarse.
En su discurso, el experto propuso además que la industria del software
esté sujeta a procesos más estrictos de rendición de cuentas. Para
enfatizar su punto de vista declaró:
"los únicos dos productos no
cubiertos por responsabilidad legal son la religión y el software; el
software no debería escapar a este control por mucho más tiempo".
Propuso, en tal sentido, que la industria del software esté sujeta a
controles de calidad similares a los aplicables al sector bancario.
También se manifestó enérgicamente a favor de mejores prácticas de
manejo de metadatos, diciendo que los usuarios deben tener la seguridad
absoluta de que su información ha sido eliminada por las empresas, en
aquellos casos que sea precedente. Para ello, requirió que las empresas
que recopilan metadatos entreguen a los usuarios seguridades y garantías
concretas de que los datos han sido eliminados. Indicó que en caso de
no existir una garantía escrita, el usuario sencillamente debe suponer
que sus datos han sido almacenados permanentemente.
Fuente:
DiarioTI