Los reguladores adoptan un tono diferente en materia de ciberseguridad

Una directiva emitida por la Comisión Federal de Comercio (FTC) que requiere que GoDaddy mejore la seguridad de sus servicios de alojamiento sugiere que el gobierno federal está siendo más prescriptivo en cuanto a la orientación proporcionada al sector privado.

Después de una serie de brechas que se remontan a 2018, la FTC a principios de este año acusó a GoDaddy de violar la Sección 5 de la Ley de la FTC por no implementar prácticas de seguridad estándar en los sitios web de los clientes a pesar de presumir de una “seguridad galardonada.”

La FTC, como parte de un acuerdo, ha emitido una orden que requiere específicamente que GoDaddy designe a una persona para estar a cargo de un programa de seguridad de la información, adopte una gestión de eventos de información de seguridad (SIEM) u otra herramienta que proporcione análisis casi en tiempo real de los eventos de seguridad, cree un sistema de registros de auditoría, aborde problemas de autenticación con certificados, pares de claves privadas-públicas o tecnologías similares, e implemente la autenticación multifactor para empleados, contratistas y afiliados de terceros.

GoDaddy también debe someterse a una revisión inicial y luego pasar por evaluaciones de sus operaciones de seguridad cada dos años por evaluadores externos.

Si bien la mayoría de los profesionales de ciberseguridad estarían de acuerdo en que estas medidas equivalen a exigir a GoDaddy que adopte un conjunto generalmente reconocido de mejores prácticas, la FTC está adoptando un tono decididamente diferente al que otras agencias gubernamentales han tenido en el pasado. La mayoría de las críticas a cualquier organización del sector privado han llegado en forma de asesoramiento en lugar de como una directiva.

Además, la FTC está participando en una cierta cantidad de vergüenza pública con la esperanza de que otras organizaciones que tienen ciberseguridad laxa puedan sentirse más motivadas para abordar esos problemas antes de que la FTC u otra agencia determine que hay necesidad de intervenir.

En general, los gobiernos de todo el mundo están prestando mucha más atención al nivel real de ciberseguridad que se está implementando en el sector privado. Ahora hay en todo el mundo una mejor apreciación de las implicaciones de seguridad nacional de las plataformas ampliamente utilizadas. El presidente de Microsoft, Brad Smith, por ejemplo, el año pasado se encontró pidiendo disculpas por las prácticas de ciberseguridad laxas de la empresa que fueron descubiertas por la Junta de Revisión de Seguridad Cibernética (CSRB), un brazo de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

Es posible que las agencias federales no tengan los recursos necesarios para revisar ampliamente las prácticas de ciberseguridad en toda la seguridad privada, pero el tenor y el tono de los compromisos con las agencias federales están cambiando. Claramente, hay menos simpatía por las organizaciones que no implementan niveles adecuados de ciberseguridad. Los días en que era injusto culpar a la víctima de un ataque de ciberseguridad están llegando a su fin. Ahora se espera que las organizaciones no solo sean muy conscientes del riesgo que enfrentan, sino que también se las vea activamente tomando medidas para mitigarlos.

Cada organización, como resultado, debería evaluar su nivel actual de compromiso con la ciberseguridad. Es poco probable que alguien de una agencia federal aparezca mañana haciendo preguntas difíciles, pero en caso de un incidente, los equipos de TI y ciberseguridad deberían esperar que se les hagan preguntas mucho más específicas sobre las medidas que tomaron para prevenir que ocurran en primer lugar.