27 ago 2014

"Reportar hacks debería ser como el control de enfermedades"

Dan Geer, experto en seguridad informática, propone un mandato aplicable a todo el sector empresarial, según el cual las empresas estarían obligadas a revelar hacks y brechas de seguridad, al igual que ocurre con el control de enfermedades.

Durante su discurso en la reciente Conferencia Black Hat, Geer sugirió aplicar a las empresas requisitos obligatorios, que deberían ser más estrictos que la normativa actual, escribe la publicación VPN Creative.

"¿No tendría sentido tener un régimen de notificación obligatoria de los fallos de seguridad cibernética?", preguntó retóricamente el experto, señalando que las empresas deberían enfrentar cargos criminales si evitan reportar situaciones de riesgo cibernético a las autoridades.

Sugirió que los ataques y brechas "por encima de cierto umbral" simplemente deberían ser reportados a organismos competentes. En tal sentido, hizo referencia a procedimientos internos en la Fuerza Aérea estadounidense, donde los informes sobre hackeo son tratados como si fuesen emergencias de aviación.

Recurriendo a una metáfora, Geer comparó el control de riesgos informáticos con el control de enfermedades, donde la finalidad es prevenir brotes y evitar el contagio a gran escala. Indicó que la comparación es válida debido a la velocidad con que los virus informáticos pueden propagarse.

En su discurso, el experto propuso además que la industria del software esté sujeta a procesos más estrictos de rendición de cuentas. Para enfatizar su punto de vista declaró: "los únicos dos productos no cubiertos por responsabilidad legal son la religión y el software; el software no debería escapar a este control por mucho más tiempo".

Propuso, en tal sentido, que la industria del software esté sujeta a controles de calidad similares a los aplicables al sector bancario.

También se manifestó enérgicamente a favor de mejores prácticas de manejo de metadatos, diciendo que los usuarios deben tener la seguridad absoluta de que su información ha sido eliminada por las empresas, en aquellos casos que sea precedente. Para ello, requirió que las empresas que recopilan metadatos entreguen a los usuarios seguridades y garantías concretas de que los datos han sido eliminados. Indicó que en caso de no existir una garantía escrita, el usuario sencillamente debe suponer que sus datos han sido almacenados permanentemente.

Fuente: DiarioTI

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!