Visiones sobre ciberseguridad
Este pasado 2 de Diciembre he tenido la oportunidad de participar en un encuentro, en el Real Instituto Elcano bajo la regla de la casa Chatham, con Melissa Hathaway, y escuchar de primera mano alguna de sus visiones sobre ciberseguridad, ya reflejadas anteriormente en diversas instancias. Ésta visita de Ms. Hathaway es parte de su periplo para la presentación y lanzamiento de su Cyber Readiness Index, visita semejante a la de su lanzamiento en Australia.Ideas-fuerza
Entre sus ideas-fuerza (autorizó explicitamente a citarla, frente a la regla base, ya que se estan difundidas) se encuentran:
Un análisis calmado del índice me ha provocado la pregunta ¿cómo vincula Ms. Hathaway la situación que proclama de no preparación con los resultados proporcionados por el índice? (la valoración cuantitativa, que esta basada solo en los aspectos formales da resultados, casi totalmente positivos ...).
A la pregunta de que haría ella de estar sentada mñana en la obamasilla, contestó que instauraría un programa de incentivos económicos a las industrías para medidas de seguridad, tal como hay para cambios en aislamiento térmico u otros asuntos de medio ambiente.
Interesante el apunte de un asistente (no name, Chatham rule) de que su organización se siente sola ante la ciber-delincuencia, o sea, que no hay nada entre ellos y los delincuentes. Lo que me recordó una parte del contenido del Threads Horizon 2015 del ISF:
"The role of government must not be misunderstood.
Governments and regulators won’t do it for you. Governments have a key role to play in securing cyberspace, from coordination on to raising public awareness and sharing threat information. But they have no intention of leading cyber security efforts. They expect organisations to manage risks in cyberspace, and to prevent information and systems from being compromised. Organisations that depend on governments to lead or secure cyberspace will suffer, as will those who focus only on complying with regulation."
Sorprende que a estas alturas sigamos sin tener claro quien debe responder (o sea, es accountable) por estos asuntos, las organizaciones privadas claman por las públicas; defensa vs seguridad ciudadana; la responsabilidad de las empresas; la preocupación de una catástrofe económica por comportamiento empresarial irresponsable (si Enron ya pasó hace unos cuantos años ...).
Tambien me sorprende la fuerte apuesta por la prevención, sin un sustrato científico. Me explico. Bajo la hipótesis de que todas las repercusiones fueran exclusivamente económicas ¿es mejor sufrir los costes de los desastres o gastar dinero en prevención y respuesta? Sé que el "saber convencional" apunta indubitadamente a la prevención, y que es anatémico siquiera apuntar lo contrario. Pero ... ¿hemos estudiado científicamente el asunto? Tenía un supervisor que decía que no estaba claro si era más barato pagar al ejercito que te protege o al pirata que te aborde. Veamos, si entre todas las empresas gastan al año en prevención más dinero que las pérdidas que se producen ... a nivel país perdemos dinero. Pensemos en los seguros; a nivel individual, el empleo de seguros económicos depende del "apetito por el riesgo" de cada uno. A nivel general, la mutualización del riesgo a nivel país debe generar resultados positivos, a la vista de que la industria de seguros gana buenos volumenes de beneficios. Según algunos estudios los costes asociados a cumplir con las obligaciones de Sarbanes-Oxley superan ampliamente las pérdidas incurridas por el caso Enron ... O sea, que es más eficiente afrontar alguna pérdida ocasional que gastar en prevención ...
Finalmente, es clamor del sector que las inversiones y gastos en seguridad son muy inferiores a lo necesario, y se acaba acusando de miopía a las Gerencias. ¿No será que el negocio entiende mucho mejor la relación riesgo/beneficio, y que miden mejor la relación entre gastar dinero cierto ahora para prevenir posibles impactos futuros y los beneficios alcanzados?
Ello enlaza, finalmente, con la pregunta de si los análisis de riesgo valen para algo ... pero eso, es otra entrada del blog.
Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk
- Su apreciación sobre la exposición actual al riesgo, que ya revela el abstract de su ponencia del ICCS -agosto de 2013-: "Targeted attacks are increasing and our defensive posture remains weak" -esto es, los ataques dirigidos van en aumento y nuestra situación defensiva permanece débil; y su explícito subtitulo en el Belfer Center - "No country is cyber ready". ¡Vaya! Common Knowledge.
- Su reflexión sobre separar los asuntos de seguridad nacional de los asuntos delincuenciales; que al tender a juntarse todo en el mismo saco, el asunto bascula hacia la jurisdicción militar, las prioridades se descentran de los aspectos delincuenciales y los desafíos empresariales se eclipsan. Ya en el European Forum Alpbach indicó que "...sometimes we’re talking about political activism, sometimes cyber crime, other times we’re talking about espionage, ..."
- La consideración de que la economía global descansa sobre Internet y en medir su influencia en términos de GDP; asunto que ya apunta en su publicación en el web de CIGI - Centre for International Gobernance Innovation
- Su visión sobre la medición de la situación de seguridad mediante un índice objetivo -más información algo más adelante.
Índice de ciber-disposición (readiness)
Propone Ms. Hathaway un índice para medir el nivel de preparación/madurez en ciber-seguridad de cada país. Índice cuya composición se describe hasta un cierto detalle aquí. No dando información detallada, no dejo de preguntarme si el índice proporciona un valor real de disposición ya que parece estructurado para medir los aspectos más formales que los sustantivos, podría devenir en un índice de cumplo y miento ...Un análisis calmado del índice me ha provocado la pregunta ¿cómo vincula Ms. Hathaway la situación que proclama de no preparación con los resultados proporcionados por el índice? (la valoración cuantitativa, que esta basada solo en los aspectos formales da resultados, casi totalmente positivos ...).
Turno de preguntas
Siguió a la ponencia un turno de preguntas, que se centró no en el aspectos relacionados con el íncide sino en el estado de la situación y las vías de mejora.
A la pregunta de que haría ella de estar sentada mñana en la obamasilla, contestó que instauraría un programa de incentivos económicos a las industrías para medidas de seguridad, tal como hay para cambios en aislamiento térmico u otros asuntos de medio ambiente.
Interesante el apunte de un asistente (no name, Chatham rule) de que su organización se siente sola ante la ciber-delincuencia, o sea, que no hay nada entre ellos y los delincuentes. Lo que me recordó una parte del contenido del Threads Horizon 2015 del ISF:
"The role of government must not be misunderstood.
Governments and regulators won’t do it for you. Governments have a key role to play in securing cyberspace, from coordination on to raising public awareness and sharing threat information. But they have no intention of leading cyber security efforts. They expect organisations to manage risks in cyberspace, and to prevent information and systems from being compromised. Organisations that depend on governments to lead or secure cyberspace will suffer, as will those who focus only on complying with regulation."
Reflexiones
Tambien me sorprende la fuerte apuesta por la prevención, sin un sustrato científico. Me explico. Bajo la hipótesis de que todas las repercusiones fueran exclusivamente económicas ¿es mejor sufrir los costes de los desastres o gastar dinero en prevención y respuesta? Sé que el "saber convencional" apunta indubitadamente a la prevención, y que es anatémico siquiera apuntar lo contrario. Pero ... ¿hemos estudiado científicamente el asunto? Tenía un supervisor que decía que no estaba claro si era más barato pagar al ejercito que te protege o al pirata que te aborde. Veamos, si entre todas las empresas gastan al año en prevención más dinero que las pérdidas que se producen ... a nivel país perdemos dinero. Pensemos en los seguros; a nivel individual, el empleo de seguros económicos depende del "apetito por el riesgo" de cada uno. A nivel general, la mutualización del riesgo a nivel país debe generar resultados positivos, a la vista de que la industria de seguros gana buenos volumenes de beneficios. Según algunos estudios los costes asociados a cumplir con las obligaciones de Sarbanes-Oxley superan ampliamente las pérdidas incurridas por el caso Enron ... O sea, que es más eficiente afrontar alguna pérdida ocasional que gastar en prevención ...
Finalmente, es clamor del sector que las inversiones y gastos en seguridad son muy inferiores a lo necesario, y se acaba acusando de miopía a las Gerencias. ¿No será que el negocio entiende mucho mejor la relación riesgo/beneficio, y que miden mejor la relación entre gastar dinero cierto ahora para prevenir posibles impactos futuros y los beneficios alcanzados?
Ello enlaza, finalmente, con la pregunta de si los análisis de riesgo valen para algo ... pero eso, es otra entrada del blog.
Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk
No hay comentarios :
Publicar un comentario