Edward Snowden eludió regulaciones sobre seguridad cibernética

Edward Snowden, el 'filtrador' de programas de vigilancia de la Agencia de Seguridad Nacional (National Security Agency, NSA) se encontró -de acuerdo a informes- en posibilidad de contrabandear miles de documentos clasificados del órgano, desde simples USBs portátiles. A pesar de las muy poderosas y secretas medidas de seguridad de la NSA, Snowden terminó arribando a Hong Kong con cuatro laptops que almacenaban información clasificada.

Tres años atrás, el soldado de 22 años Bradley Manning orquestó una maniobra contra la seguridad nacional de los Estados Unidos, instancia en la que robó y luego liberó más de un millón de documentos oficiales. De igual modo, Manning consolidó su acto utilizando un pendrive y otros dispositivos para almacenamiento de información. Desde entonces, las agencias de seguridad del gobierno han restringido o prohibido el empleo de esos dispositivos, pero resulta notablemente difícil reforzar esa prohibición en el terreno.

Lo que resulta más perturbador es que, desde noviembre de 2012, el gobierno federal ha experimentado al menos dieciséis fallas en seguridad cibernética. A pesar de las carencias del gobierno para implementar su poder de policía respecto de su propia seguridad, el presidente estadounidense Barack Obama ha remitido una orden ejecutiva que recurre a un enfoque regulatorio para exigir seguridad adicional a organizaciones del sector público.

El enfoque buscado por la Administración y por algunos miembros del congreso es un modelo de pobres resultados para, por ejemplo, el sector privado. En lugar de aumentar la seguridad real, la carga de regulaciones en materia de seguridad cibernética conduce a una atmósfera de cumplimiento. Más aún, tales regulaciones están lejos de mantenerse al día con las amenazas electrónicas o de adaptarse a ellas, conforme el lamentable récord del gobierno se hace cada vez más evidente.

En lugar de ello, el presidente Obama y el congreso deberían implementar soluciones de bajo costo que alienten la innovación, y que puedan adaptarse al dinamismo que caracteriza al mundo de la ciberseguridad. Una alternativa positiva coincidiría con iniciativas gubernamentales que conduzcan a compartir información sobre amenzas y vulnerabilidades entre los sectores público y privado. Esto permitiría al gobierno acceder a los recursos de que dispone el sector privado en materia de esfuerzos sobre ciberseguridad, y viceversa.

El congreso incluso debería promover el desarrollo de un sistema de calificaciones para todas las cadenas de oferta en cuestiones cibernéticas, lo cual ayudaría a los consumidores a identificar a proveedores vulnerables o cuyos productos se encuentren comprometidos. El hardware malicioso representa un peligro para los sectores público y privado, puesto que es difícil de detectar, exhibe la capacidad de comprometer a ingentes cantidades de información sensible, y puede obstaculizar a procesos vitales dentro del gobierno federal. Alentando el desarrollo de un esquema de calificaciones, las organizaciones podrían encontrarse en mejor posición para tomar decisiones óptimas y basadas en riesgos a la hora de lidiar con su ciberseguridad.

Asimismo, el gobierno debería colaborar con el sector privado con el fin de educar al público estadounidense respecto de los riesgos en ciberseguridad, a criterio de alentar de cara a un mayor grado de alerta. Por ejemplo, mientras que Snowden empleó USBs portátiles de manera maliciosa, muchos individuos simplemente no creen que estos dispositivos exhiben la posibilidad de difundir virus informáticos y exponer información.

El gobierno federal ha contabilizado una larga serie de importantes brechas de ciberseguridad en años recientes, que han expuesto tanto información personal como secretos de Inteligencia. Dada la pobre performance expuesta por los enfoques regulatorios, el congreso debería remitirse a la puesta en marcha de innovaciones en materia de seguridad cibernética a través de políticas de bajo costo y basadas en criterios de riesgo.


* Traducción al español: Matías E. Ruiz | Artículo original en inglés en: http://blog.heritage.org/2013/06/28/edward-snowden-dodges-cybersecurity-regulations/