Singapur hace grandes preguntas sobre ciberseguridad a …



Un ejecutivo de la Agencia de Seguridad Cibernética de Singapur examina el papel de la seguridad en una nación que depende cada vez más de la tecnología.

¿Es la ciberseguridad un bien público o un bien privado? ¿Es un desafío de ingeniería o un problema de política? ¿Deberían los consumidores ser responsables de su propia seguridad? ¿Es la seguridad un costo o beneficio comercial?

Mientras Singapur prosigue su viaje para convertirse en una «nación inteligente», se formulation estas preguntas difíciles y muchas otras mientras los funcionarios luchan con el papel de la ciberseguridad en un país cada vez más dependiente de la tecnología, explicó Gaurav Keerthi, director ejecutivo adjunto de desarrollo de Cyber ​​Security de Singapur Company, en su discurso de apertura en el Black Hat Asia virtual de esta semana.

Keerthi, quien anteriormente se desempeñó como piloto y director de innovación de la Fuerza Aérea de Singapur, ahora es responsable de rediseñar cómo la nación se defiende de las amenazas cibernéticas. Es una tarea difícil, especialmente en un país que intenta digitalizar varios aspectos de la sociedad moderna, «desde farolas hasta semáforos», como dijo Keerthi, en un esfuerzo por mejorar la vida de sus ciudadanos.

«Cuando digitalizas todo a esa escala, los profesionales de la ciberseguridad dan un paso atrás y piensan: &#39Vectores de ataque. Veo vectores de ataque en todas partes&#39, y es cierto», dijo. La Agencia de Seguridad Cibernética de Singapur tiene como objetivo proteger el ciberespacio y la seguridad nacional mientras impulsa una economía electronic y protege su forma de vida digital.

Proteger una nación es muy diferente a proteger una red corporativa. En su discurso de apertura, Keerthi explicó los desafíos y dilemas relacionados con la seguridad de Singapur y las tecnologías de las que dependen sus ciudadanos, utilizando ejemplos no tradicionales para ilustrar las muchas formas en que la ciberseguridad seguirá desempeñando un papel esencial en la vida cotidiana.

¿Un problema de ingeniería o una cuestión de política?
Los gobiernos generalmente han adoptado un enfoque centrado en las políticas: si hay un problema con la seguridad de World wide web, se implementan leyes y regulaciones. La industria tiene un enfoque centrado en la ingeniería, que aborda los problemas de seguridad con nuevas tecnologías, en parte porque no puede establecer políticas.

La respuesta, como ocurre con muchas preguntas, está en algún punto intermedio. «Los gobiernos deben adoptar un enfoque más ingeniero del problema para complementar las políticas», dijo Keerthi.

Considere el exceso de velocidad: las señales de límite de velocidad son una solución de política, pero las mejoras de ingeniería como los topes de velocidad, las cámaras y las herramientas para detectar la velocidad promedio en una carretera larga pueden reducir la velocidad de los automóviles.

«No son extremos. Está en algún punto intermedio», agregó. Singapur a veces coloca ingenieros para redactar políticas y personas sin conocimientos técnicos para redactar el desarrollo de capacidades. «Nuestro objetivo closing es asegurarnos de que hemos tomado este problema y lo hemos abordado desde todas las direcciones», dijo.

¿Deberían los consumidores ser responsables de su seguridad?
La industria de la seguridad responsabiliza en gran medida a los usuarios de su propia defensa y, a diferencia de otros sectores, no tiene problemas para decirles a los usuarios que son el eslabón más débil. Keerthi llamó a esto poco saludable.

«Crea una profecía autocumplida en la que nuestra industria en basic no asume la responsabilidad y la propiedad por este problema», dijo. Si bien los profesionales de la seguridad informática a menudo están separados de los desarrolladores de application, advirtió que no se debe hacer pública esta distinción.

Keerthi extrajo lecciones de la industria automotriz. Cuando alguien compra un automóvil, aprende su costo y si tiene un buen motor, ruedas y frenos para evitar un accidente. No necesitan conocer las tuercas y los tornillos que hacen que esas cosas funcionen. Con el tiempo, la industria automotriz ha aprendido de los accidentes e instalado más medidas de seguridad para proteger a los conductores. Para cuando aparece un automóvil nuevo en el lote, todos los diseñadores ya se han puesto de acuerdo sobre cómo debería funcionar.

La seguridad, por el contrario, es compleja, incluso para los profesionales que trabajan en la industria. «La ciberseguridad debe ser utilizable para ser eficaz», dijo Keerthi. «Debe ser inclusivo. Todas las personas son parte de nuestro ecosistema … no solo las que tienen conocimientos técnicos».

A nivel gubernamental, Singapur ha adoptado DevSecOps como su forma de lanzar productos y está tratando de simplificar la seguridad a nivel nacional para que los desarrolladores puedan utilizar fácilmente las mejores prácticas.

Un beneficio o un costo: una perspectiva corporativa
Si bien los últimos años han llevado con éxito la ciberseguridad al nivel de la junta, todavía hay discusiones que sopesan el costo y el beneficio, y la seguridad y la usabilidad, explicó Keerthi.

«A veces hay una carrera a la baja en la que intentan gastar la cantidad mínima en ciberseguridad solo para cumplir con los requisitos de cumplimiento», dijo. «Las discusiones están impulsadas por el modelo mental de que la ciberseguridad es un costo, y es un costo que deben asumir para hacer negocios».

Los clientes no premian el buen comportamiento de seguridad, pero golpean fuertemente el mal comportamiento. ¿Pueden las empresas hacer de la seguridad un punto de venta a medida que las personas se vuelven conscientes de la seguridad y la protección?

En este momento, los beneficios de seguridad de los productos individuales son en gran medida invisibles para los usuarios. Si alguien quiere comprar un enrutador, no hay forma de saber si un enrutador es más seguro que otro. Pero de manera very similar a cómo aparece la información nutricional en los productos alimenticios, Keerthi cree que existe la oportunidad de transmitir el nivel de seguridad de un producto a las personas que quieran comprar un producto.

Dijo que Singapur introducirá el «esquema de etiquetado de ciberseguridad» en los dispositivos conectados a la purple, con un rango de clasificación de seguridad de una a cuatro estrellas. «Queremos educar a los consumidores y queremos alentar e incentivar a los fabricantes para que construyan productos mejores, más seguros y más seguros para que todo el ecosistema avance», dijo Keerthi.

Ciberseguridad: ¿bien público o bien privado?
Es una pregunta importante. Si la ciberseguridad es un bien puramente privado, la responsabilidad recae en el sector privado. Si se considera un bien público, se convierte en trabajo del gobierno. La verdadera respuesta, dijo, se encuentra en algún punto intermedio. Las personas confían en tecnologías creadas por empresas privadas, pero hay aspectos que indican que el gobierno puede tener que desempeñar un papel.

Keerthi usó el saneamiento público como ejemplo. Hasta el siglo XIX, los países trataban el agua potable de la forma en que tratamos actualmente la ciberseguridad. Los gobiernos advertían a la gente que no bebiera agua contaminada, pero era su responsabilidad hervir el agua para evitar enfermedades. Cuando las personas seguían bebiendo agua sucia y contraían enfermedades, se las consideraba el eslabón débil.

«Se convirtió en un problema de salud pública porque estas enfermedades eran contagiosas», explicó. «En lugar de afectar simplemente a un usuario privado, la falta de higiene del agua de una persona se extendió hasta convertirse en un problema de salud para muchas personas». Como resultado, los gobiernos cambiaron su modelo psychological y construyeron redes de plomería y alcantarillado porque se dieron cuenta de que el agua potable era un bien público.

La higiene cibernética se ha expandido de un problema privado a una disaster pública. No es una analogía perfecta, dijo, pero da una plan de las respuestas que podríamos tener para el mundo digital. Si bien no está claro cuánto deberían ser responsables los gobiernos, él cree que debería ser mucho más.

«Tenemos que estar preocupados por nuestros servicios esenciales», dijo Keerthi. «La falta de higiene cibernética de un usuario ahora se traduce en contagio, que puede afectar a otros usuarios».

Kelly Sheridan es la editora de personalized de Dark Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first