En el mar, sin forma de navegar: el almirante James …


El ex Comandante Supremo Aliado de la OTAN da a Dark Reading su opinión sobre las mayores amenazas cibernéticas que nuestra nación y sus negocios enfrentan hoy.

Según cualquier estándar, James Stavridis ha tenido una carrera notable, comenzando con la graduación de la Academia Naval de EE. UU. (Con un título en ingeniería eléctrica), ascendiendo a través de las filas de oficiales hasta comandante del Comando Sur de los EE. UU. Comandante Supremo Aliado Europa.

Durante su carrera, Stavridis obtuvo un doctorado en Derecho y Diplomacia. Después de retirarse de la Marina, se convirtió en decano de la Escuela Fletcher en la Universidad de Tufts y comenzó una carrera editorial.

Stavridis es miembro de las juntas directivas de varias organizaciones y es un orador frecuente en política y tecnología internacional, más recientemente en la Conferencia RSA. Después de la conferencia, Curtis Franklin de Dark Reading tuvo la oportunidad de hablar por teléfono con el Almirante para una conversación que se refirió a los problemas de seguridad cibernética que están en su mente tanto para los gobiernos como para la empresa. No es de extrañar que Stavridis haya pensado bastante sobre las amenazas cibernéticas a los EE. UU. Lo que puede ser más sorprendente es su opinión sobre el papel del gobierno cuando se trata de ayudar a las empresas a defenderse contra algunos de los mismos actores de amenaza que perjudican la seguridad nacional agencias.

Lo que sigue es una transcripción editada de su conversación.

Lectura oscura: Al examinar el panorama de la ciberseguridad, ¿qué es lo que más le preocupa?

James Stavridis: En el ciber, vemos el mayor desajuste entre el nivel de amenaza y el nivel de preparación. En el mundo físico, tuvimos muchas amenazas. Ya sabes, Rusia. Afganistán, Libia, los Balcanes, piratería: muchas amenazas, pero estábamos muy bien preparados para hacer frente a la mayoría de ellas. Desafortunadamente, en el ciber, hubo una brecha real, y creo que sigue siendo una brecha real. Veo mucha preocupación en el espacio geopolítico. Y veo mucha preocupación en el espacio electoral nacional. Esas son mis dos áreas de verdadera preocupación y enfoque en este momento.

Lectura oscura: Cuando se trata de adversarios de estados nacionales, ¿son algo de lo que solo nuestro departamento de defensa debería preocuparse, o deberían preocuparse todas las organizaciones comerciales?

Stavridis: Es lo último. A menudo digo esto sobre ciberseguridad, que todavía estamos en la playa de Kittyhawk. Todavía estamos descubriendo cómo va a funcionar esto. Para cambiar las metáforas a los océanos, es como si estuviéramos en el mar, estamos en un montón de botes, pero realmente no hemos puesto boyas y ayudas de navegación, y no hemos definido realmente quién va a protegernos.

Entonces, si soy un barco comercial en el mar, sé que la Marina de los EE. UU. Vendrá a defenderme si soy un barco estadounidense y estoy bajo ataque. Y, de hecho, desalentamos activamente a los buques mercantes de montar sus propias defensas. Los requisitos de defensa, creo, deberían corresponder al estado.

Pero en el mundo de la cibernética, de manera realista, si usted es una entidad comercial, particularmente un tipo de entorno rico en objetivos como las finanzas o la infraestructura crítica, por ejemplo, la red eléctrica, el gobierno hasta ahora no ha intensificado esa tarea de proteger ampliamente tú.

Sí, puedes obtener algo de ayuda de la NSA y algo de ayuda del FBI y algo de ayuda de la CIA. Pero en términos generales, tendrá que tener algunos mecanismos, al menos en la detección y en el lado defensivo.

Te daré un ejemplo práctico. Los ocho bancos más grandes de los Estados Unidos se unieron y crearon algo llamado el Centro de Análisis y Resiliencia Sistémico Financiero (FSARC). Contrataron a un experto en ciberseguridad absolutamente excelente (para ser presidente y CEO), un tipo llamado Scott DePasquale, (anteriormente socio del fondo de capital de riesgo con sede en Nueva York Braemar Energy Ventures). Y están contratando personas del FBI, CIA, DOJ, DHS. Y están construyendo, efectivamente, una comunidad de medidas defensivas y de intercambio de información, tal como dice el título, análisis y resistencia. Nosotros, como ciudadanos, deberíamos alentar al gobierno a hacer más de esto. Mientras tanto, creo que muchas de estas entidades comerciales tendrán que encontrar formas de defenderse mejor.

Lectura oscura: Hay industrias en las que existe cierta preocupación sobre cómo verá el gobierno compartir información entre competidores potenciales en una industria, si esto crea algún tipo de ambiente anticompetitivo. ¿Es este el tipo de área donde necesitamos continuar evolucionando la forma en que los reguladores miran la actividad, o estamos al tanto de esto?

Stavridis: Estamos no en lo alto de ello. Necesita estímulo, y creo que esto debe ser impulsado dentro de las propias industrias. Necesitan comprender que son más fuertes juntos, en el sentido de que si intentan mantenerse como ciudadelas solitarias protegiéndose, perderán. Este es un deporte de equipo.

Y creo que el gobierno también tiene un papel importante que desempeñar. Te voy a dar un ejemplo. El Congreso hace dos años finalmente aprobó la Ley de intercambio de información sobre ciberseguridad, que da un pequeño paso exactamente en la dirección que acaba de describir. Se formaliza la idea de que las empresas deben compartir información para protegerse mejor. Y déjame darte un ejemplo.

Probablemente vuelas con frecuencia. Probablemente voló a (la Conferencia RSA), por lo que voluntariamente se metió en un tubo de metal, subió 35,000 pies volando tres (a cinco) cientos de millas por hora. Santa vaca

Eso no suena muy seguro, ¿verdad? Y, sin embargo, esa es una de las cosas más seguras que puede hacer. Eso es más seguro que cruzar la calle, y es mucho más seguro que conducir su automóvil en la autopista. Todos sabemos eso. Y es por eso que no nos molesta entrar en ese tubo de metal y volar a gran velocidad.

¿Porqué es eso? Esto se debe a que la industria de las aerolíneas es un ejemplo de lo que debería estar haciendo la industria de la seguridad cibernética, lo que debería estar haciendo lo financiero, lo que debería estar haciendo la compañía de la red eléctrica, lo que deberían estar haciendo las empresas de servicios de agua. Deberían compartir información.

¿Qué sucede cuando un avión se estrella? Todos descienden sobre ella. Es totalmente transparente Si el alerón izquierdo en un 777 estuviera fuera de lugar, inexplicablemente, ¿qué pasaría? Toda la flota estaría conectada a tierra globalmente hasta que descubramos qué sucedió. Toda esa información es transparente y se comparte. Lo que sucede en el lado cibernético de las cosas, con demasiada frecuencia, es cuando las empresas son atacadas, su instinto es esconder la pelota.

¿Porqué es eso? Porque el precio de sus acciones caerá. Y no hay incentivos incorporados en el sistema para ser abiertos, los incentivos van en la otra dirección, mientras que en la industria de las aerolíneas, el incentivo masivo es que si las personas pierden la confianza en volar en esos aviones, toda la industria es un brindis. Así que creo que el lado cibernético de la industria debe parecerse más a la industria de las aerolíneas.

(Continúa en la siguiente página)

Curtis Franklin Jr. es editor sénior en Dark Reading. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video para Dark Reading y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Anterior

1 de 3

próximo

Más ideas





Enlace a la noticia original