Asegurar nuestras elecciones requiere un cambio en …



El aumento de la seguridad en torno a nuestro proceso y sistemas electorales requerirá un gran esfuerzo de muchos partidos diferentes. Así es cómo.

La seguridad de nuestras elecciones es lo más importante para prácticamente todos los votantes en los Estados Unidos. Con las primarias estatales en marcha, todos los ojos están puestos en nuestros sistemas de votación electrónicos (y en algunos casos móviles) para comprender si están ocurriendo ataques maliciosos y si nuestros sistemas pueden defenderse de ellos. La mayoría de los expertos están de acuerdo en que no estamos preparados ni tenemos fondos suficientes para garantizar nuestras elecciones, lo que debería preocuparnos a todos.

Un gran problema es que cuando miramos todo el ecosistema del proceso electoral nacional, no lo tratamos de la misma manera que tratamos los sistemas comerciales. Esto es un error. Votar es un asunto de nuestros gobiernos estatales. Y el activo más valioso para los estados es la información del votante, similar a la información del cliente y los activos de datos de una empresa con fines de lucro (que están cada vez más protegidos por las normas de privacidad de datos). Para modernizar nuestro modelo actual de gestión, confianza y seguridad electoral, es importante examinar tres pilares interrelacionados para los gobiernos estatales: tecnología, personas y actitudes.

1. Tecnología: hacer la ciberseguridad más proactiva
Para abordar las crecientes amenazas a la seguridad que enfrentan muchos jugadores en el ecosistema del sistema electoral más amplio, la tecnología y la política de ciberseguridad proactiva deben tomar el centro del escenario de tres maneras importantes:

Higiene de ciberseguridad de empresas y agencias individuales
Debería exigirse una mayor transparencia y evaluaciones basadas en datos de los proveedores de hardware y software del sistema electoral para medir la higiene de la seguridad cibernética de cada empresa con respecto a una línea de base establecida. Además, es necesario aumentar la supervisión del despliegue y la implementación de tecnología en los sistemas electorales estatales y locales para garantizar que las configuraciones incorrectas no creen vulnerabilidades adicionales.

Un enfoque de "defensa en capas" para la ciberseguridad
Dada la naturaleza complicada e interdependiente de los sistemas y bases de datos del gobierno, se deben establecer medidas de seguridad para minimizar la probabilidad de un ataque, particularmente del personal interno. Por ejemplo, un empleado mal intencionado podría acceder y piratear una base de datos de registro de votantes del estado a través de una vulnerabilidad en la red del Departamento de Vehículos Motorizados. La implementación de un enfoque de defensa en capas e incorporar un "principio menos privilegiado" que limita el acceso de un individuo a solo partes muy específicas de una red o sistema electoral hace que el acceso interno sea más difícil y la piratería exitosa sea más improbable.

Validación continua de la efectividad de los controles de seguridad.
Como es cierto en el mundo de los negocios, cualquier agencia u organización gubernamental que juegue un papel en el ecosistema electoral no puede darse el lujo de asumir que la tecnología y los protocolos de seguridad establecidos siempre funcionan como se supone que deben hacerlo. Con una gama tan compleja de elementos de software interrelacionados de múltiples proveedores, cada uno con diferentes configuraciones y procedimientos, y con protocolos de acceso y red que cambian continuamente, los cambios continuos en el entorno de TI, lo que yo llamo "deriva ambiental", pueden afectar negativamente el rendimiento de la seguridad. Cuando no se controla, existe un gran riesgo de que los controles de seguridad no proporcionen las defensas necesarias cuando se produce un ataque. Las evaluaciones frecuentes y periódicas para validar la efectividad de los controles de seguridad deben ser un componente clave del proceso general.

2. Personas: nuevos roles y relaciones para el estado CIO y CISO
Por lo general, el papel del director general de elecciones lo desempeña el secretario de estado, que supervisa las pruebas y la certificación de todos los equipos de votación en cuanto a seguridad, precisión, fiabilidad y accesibilidad. Los estados también tienen un CIO y un CISO, pero actualmente no tienen una relación formal de trabajo directo con el secretario de estado o las comisiones de elecciones estatales. Creo que deberían hacerlo, especialmente ahora, con la prominencia del voto electrónico. Los CIO y CISO estatales pueden ser de gran valor para el secretario de estado y las comisiones electorales para ayudarlos a comprender el panorama de amenazas de ciberseguridad en evolución, al tiempo que rastrean su impacto potencial de amenazas a diario.

Los gobernadores también deben tener equipos de protección cibernética que sepan cómo explorar el entorno en busca de los malos y buscar fallas, antes de que ocurra un ataque. El lugar adecuado para que este recurso de seguridad cibernética exista y colabore con el CIO y el CISO del estado sería en los "Centros de Fusión" establecidos para hacer frente a cualquier tipo de emergencia, independientemente de su origen. He visto este trabajo en marcha en Michigan, Virginia, Rhode Island y Louisiana, y creo que otros estados deberían seguir su ejemplo.

3. Actitudes: pasar de la ingenuidad a la experimentación reflexiva
Hay varios desafíos de actitud que enfrentamos hoy. Si bien la mayoría de los gobiernos estatales y locales entienden que existen amenazas y existen vulnerabilidades, no entienden su naturaleza o magnitud, ni la mejor manera de abordarlas. A nivel local, a menudo se percibe que los recintos individuales son demasiado pequeños para ser objetivos viables. En una democracia donde cada voto debe contar, se requiere una mentalidad más amplia. Y cuando la tecnología de seguridad se presenta como la solución, con demasiada frecuencia se confía demasiado en ella y se asume falsamente que está funcionando como se supone para proteger la integridad de las elecciones. Cuando la higiene cibernética es una de las principales prioridades en las organizaciones empresariales de hoy, ¿por qué los sistemas electorales estatales / locales deberían ser diferentes?

Hay estados con visión de futuro que experimentan con la votación electrónica y móvil para reflejar la tecnología actual y el cambio cultural, con un doble propósito de disuadir el fraude electoral y aumentar la participación electoral. Las iniciativas y experimentos para permitir que las personas voten por teléfono móvil, en cualquier lugar y en cualquier momento, requieren una atención profunda a la ciberseguridad proactiva y la identidad digital. En las elecciones de mitad de período de 2018, Virginia Occidental se convirtió en el primer estado en introducir el voto puramente en línea para los votantes militares en el extranjero con una aplicación móvil que utilizaba la tecnología blockchain, con autenticación de identidad a través de una huella digital o reconocimiento facial. Con las preocupaciones de seguridad inherentes a este tipo de experimento, se deben realizar más investigaciones y realizar ensayos para hacer que la votación móvil sea una forma más viable para que las personas voten.

De las ideas a la acción
Para aumentar la confianza, la rendición de cuentas y la seguridad en torno a nuestros procesos y sistemas electorales, será necesario un esfuerzo combinado y concertado de muchos partidos diferentes, tanto del lado del gobierno estatal y local como de la comunidad tecnológica. Los gobiernos estatales y los funcionarios electorales deberían tomar la iniciativa, pero otros involucrados en el proceso comparten una responsabilidad igual: desde el gobierno federal y las empresas de tecnología en los sistemas electorales y los espacios de seguridad cibernética, hasta los ciudadanos individuales. Solo cuando nos unimos todos podemos asegurarnos de que cada voto cuente.

Contenido relacionado:

El mayor general Earl Matthews, USAF (Ret.), Es un galardonado mayor general retirado de la Fuerza Aérea de los EE. UU. Con una exitosa carrera que influye en el desarrollo y la aplicación de la seguridad cibernética y la tecnología de gestión de la información. Sus puntos fuertes incluyen su capacidad para liderar … Ver biografía completa

Más ideas





Enlace a la noticia original