ARTICULOS

  • Las Nuevas directivas de seguridad cibernetica de la Casa Blanca

Analizando las nuevas directivas de seguridad cibernética de la Casa Blanca

 

El presidente Obama subrayó una serie de propuestas de seguridad y privacidad de datos como última señal de que la Casa Blanca y el Congreso se están preparando para adoptar medidas legislativas en materia de protección de la información.

Los proyectos de ley se describieron por primera vez en un discurso en la Comisión Federal de Comercio en el mes de enero; posteriormente.

El Presidente propuso una norma de seguridad nacional uniforme que requiere que las empresas informen a sus clientes sobre alguna filtración de datos en un plazo de 30 días posteriores a descubrir que su información ha sido hackeada.

La Ley de Notificación y Protección de Datos Personales protegería a los consumidores que viven en estados en donde  aún no se han establecido leyes de notificación de infracción, o tienen leyes muy débiles. La ley de incumplimiento de notificación federal simplificaría el cumplimiento de las organizaciones que operan en varios estados. Actualmente, las organizaciones tienen que navegar por un confuso mosaico de más de 40 regulaciones estatales cuando se trata de una infracción de datos o un incidente de seguridad. Las propuestas, que aún no se han descrito en los proyectos de ley, ampliarían la protección a las víctimas para cubrir incidentes en que los datos comprometidos no estén relacionados a la asistencia de salud o finanzas.

La Ley de Privacidad de Datos de los Estudiantes restringiría que la información de los estudiantes almacenada en servicios de educación en línea y programas informáticos educativos sea recolectada y reutilizada.

Las propuestas también pidieron que se tipifique como delito la venta de datos robados de usuario.

“Si el Congreso no aprueba este año la legislación mencionada, será acusado ​​de negligencia y complicidad en la ola de delincuencia que está afectando actualmente a cientos de millones de estadounidenses", Stephen Cobb, investigador senior de seguridad.

La FTC tendría la autoridad para imponer multas y castigar a las empresas que no cumplan con estas leyes. “No notificar a las personas sobre el hackeo de sus datos debería ser un delito federal", dijo Cobb.

Los funcionarios de la Casa Blanca mencionaron que esperan el apoyo bipartidista para estas iniciativas. Sin embargo, el Congreso se ha estancado en una serie de iniciativas de seguridad de datos y privacidad en los últimos dos años, a pesar de la creciente toma de conciencia del problema entre los principales representantes. Varios proyectos de ley que se centran en el establecimiento de una norma federal para la notificación de infracción de datos han languidecido en el Congreso, y rara vez salen del comité para votación en el pleno.

A pesar de que la intención del legislativo no sea nueva, la situación actual ha cambiado. Con todas las infracciones recientes de datos y otros titulares de seguridad, los padres están mucho más conscientes de los abusos y los riesgos planteados por la recolección de datos en masa y reutilización, haciendo que la ley de privacidad de los estudiantes sea  aún más relevante, dijo Cobb. La creciente lista de organizaciones con infracciones ha vuelto a centrar la atención en la cuestión de la privacidad de los datos y cómo se ven afectados los consumidores.

Estas propuestas constituyen un “paso razonable y positivo" hacia la mejora de la seguridad de la nación , en línea con la Orden Ejecutiva del presidente 13636 sobre la mejora de la Seguridad Cibernética de Infraestructuras Críticas , señaló el Dr. Fengmin Gong , cofundador y director de estrategia de Cyphort.

 

Ley Federal de Notificación de Infracción

 

En la actualidad, las leyes de notificación de infracción de datos varían de estado a estado, poniendo a las empresas en una posición de búsqueda difícil a través de diferentes normas y reglamentos en caso de un incidente. Algunos estados han promulgado leyes fuertes que cubren privacidad de los datos de los estudiantes; por ejemplo, el incumplimiento de notificación en California tiene una de las leyes de notificación más estrictas de la nación.

“Las normas nacionales para la presentación de informes de infracciones están atrasadas desde hace mucho tiempo. En este momento, su derecho a saber si su información ha sido robada depende de su estado de residencia, lo cual es absurdo “, dijo Lance Cottrell, científico jefe en Ntrepid.

Los expertos temían que la norma federal pueda aminorarse y terminar siendo más débil que algunas leyes estatales existentes. Algunos estados ya incluyen un "reloj de 30 días" en sus leyes de notificación de infracción, en el que el reloj comienza a correr tan pronto como se descubre la infracción. Las normas de la Industria de Tarjetas de Pago requieren que los comerciantes notifiquen al Consejo de Normas de Seguridad PCI antes de 24 horas después de descubrir la infracción o peligro. California requiere la notificación "tan pronto como sea posible sin causar demoras innecesarias."

"No hay ninguna buena razón para que esto sea 30 días en lugar de 'lo antes posible' con directrices prácticas", dijo el Dr. Fengmin Gong, "Las leyes estatales y las regulaciones de la industria existentes ya tenían" requisitos efectivamente más estrictos", dijo. "¿Cuál podría ser una buena razón para proponer algo menos estricto?"

Sin embargo, "los beneficios netos de una ley federal uniforme fuerte superan el actual mosaico de 40 leyes diferentes adicionales", dijo Cobb. Con las leyes actuales, una pequeña empresa en Nebraska que vende a personas en los 50 estados tiene que lidiar con docenas de diferentes leyes estatales si un ladrón de datos roba datos de los clientes. El costo del cumplimiento y la recuperación de una infracción se vuelve mayor, lo que se siente como un golpe doble si uno se detiene a considerar que el negocio que tiene que asumir el costo también es víctima de este delito particular, dijo Cobb.

Muchas empresas ya son reticentes a notificar a los clientes sobre una infracción de datos donde los datos personales y la información financiera sean comprometidos debido a daños a la reputación y los costos relacionados a ordenar las cosas. La ley de notificación tomaría las conjeturas del momento en que la organización tiene que ‘confesar una infracción’. La amenaza de la publicidad podría terminar ejerciendo una presión adicional sobre las organizaciones para "hacer todo lo posible para evitar infracciones en lugar de simplemente responder a ellas", dijo Steve Hultquist, evangelista jefe de RedSeal.

Por otro lado, sería interesante ver si el proyecto de ley tendrá un efecto sobre las empresas que buscan la ayuda del cumplimiento de la ley en el caso de una infracción de datos, señaló Ken Westin, un analista de seguridad senior.

 

Recolección de Datos de Estudiantes

 

La Ley de Privacidad de Datos de los Estudiantes prohibiría que las empresas de tecnología saquen provecho de la información recogida en las escuelas a través de aplicaciones de tableta, servicios en línea y software conectado a Internet. California promulgó una ley general de privacidad de educación el verano pasado que prohíbe que las empresas recolecten información de los estudiantes con fines de publicidad y marketing.

Las propuestas representan una oportunidad para que los políticos y las empresas reafirmen su compromiso con los Principios de Prácticas Justas de Información, que forman la base de la mayoría de los avisos de privacidad emitidos por empresas, sitios web y aplicaciones, dijo Cobb. “El mundo digital ha cambiado mucho desde que se promulgaron estos principios y podemos esperar la resistencia de algunas empresas, sobre todo en la definición de la notificación y consentimiento y límites a la reutilización", dijo

"Creo que todos los padres aceptan la afirmación del presidente respecto a que "los datos sobre los estudiantes recolectados en el aula sólo deben utilizarse con fines educativos - para enseñar a nuestros hijos, no comercializar a nuestros hijos'", dijo Cobb. Aunque es un objetivo popular, esta propuesta  recibiría oposición de grupos de intereses especiales para abrir paso a exenciones, advirtió. Las infracciones de datos recientes y furor resultante pueden "ser suficientes para impulsar la legislación sobre los obstáculos que presentarían los que tienen un interés personal en la recolección de datos", dijo Cobb.

La propuesta del presidente también consideró  los datos  recolectados por el Internet de las Cosas (IoT), tales como el uso de energía en el hogar por los contadores inteligentes, y requirió que las compañías protejan la información.

 

Combatiendo el crimen cibernético

 

Las propuestas exigieron leyes más fuertes sobre la delincuencia cibernética y aclarar las sanciones para los delitos informáticos. Las sanciones tienen que estar en línea con otros delitos no cibernéticos similares. "Espero que las sanciones asociadas también se racionalicen cuando se resuelvan todos los detalles", dijo Cottrell. No tendría sentido tener "castigos absurdamente severos por infracciones menores", por ejemplo.

La Ley de Organizaciones Corruptas e Influidas por la Extorsión (RICO, por su sigla en inglés) necesita actualizarse para aplicarse a los delitos informáticos, y lo más importante, la Ley de Fraude y Abuso debe modernizarse para que la conducta no significativa no entre dentro del ámbito de aplicación de la ley.

"Por el momento, hay ambigüedad sobre si la infracción de los términos de servicio de Facebook, mediante el uso de un nickname, podría ser tratado como un delito informático grave, ya que constituye un acceso no autorizado", dijo Cottrell. Aaron Swartz fue procesado en virtud de la Ley de Fraude y Abuso, y los expertos en seguridad expresaron que la ley estaba desfasada respecto cómo funciona Internet.

Con la propuesta de ley, la venta de botnets e información financiera robada, como información de tarjeta de crédito y datos bancarios sería un crimen. La aplicación de la ley tendría la capacidad de disuadir la venta de software espía utilizado para acechar a los usuarios en línea o cometer robo de identidad. Los tribunales tendrán la autoridad para cerrar botnets dedicados a distribuir denegación de servicio (DDoS) y otras actividades delictivas. La aplicación de la ley también sería capaz de procesar a intrusos que abusan de su capacidad de acceso a la información para utilizarla para sus propios fines.

Es bueno hacer que el robo de datos, ataques de denegación de servicio, y la delincuencia cibernética organizada "sean aún más ilegales que antes", dijo Adam Kujawa, jefe de Malware Intelligence en Malwarebytes. Sin embargo, aún existen retos, ya que el delito cibernético es un problema mundial. Al juzgar a criminales, las leyes del país donde se encuentran los delincuentes pueden ser un "gran obstáculo para obtener justicia", dijo

Cobb fue más optimista, señalando que estos cambios aclararían la ley respecto al cibercrimen y darían una base más sólida a la aplicación de la ley  para juzgar a los cibercriminales, especialmente cuando el sendero nos lleva a otros países. “Al dejar en claro que Estados Unidos considera el robo de los datos relativos a, o creados por y para sus ciudadanos como un delito punible se fortalecerá la capacidad de procesar, arrestar, extraditar, y sentenciar ", dijo Cobb.

Palo y zanahoria

Las nuevas iniciativas de seguridad cibernética también abordaron el intercambio de información, con la protección de la responsabilidad para las organizaciones que comparten los datos con los organismos gubernamentales y Organizaciones de Intercambio de Información y Analítica (ISAOs, por su sigla en inglés).

“Necesitamos compartir información, porque ningún demandado puede ver lo que está pasando, o qué técnicas se están utilizando para atacar a otras organizaciones, etc." señaló el Dr. Mike Lloyd, director de tecnología de RedSeal. A pesar de que es un buen paso, Lloyd opinó que si la organización no entiende su postura de defensa y su disposición, no basta con tener una inteligencia oportuna. "Sabiendo que, por ejemplo, si se está utilizando un estilo de ataque Heartbleed en sus vecinos, no le ayudará mucho si usted no puede responder de inmediato en caso de tener la misma vulnerabilidad", dijo

 

En última instancia, estos nuevos requisitos de seguridad podrían  llegar a ser demasiado caros o difíciles para que los propietarios de empresas pequeñas cumplan con ellos. Si bien reconoce que puede ser injusto, Kujawa señaló que  la víctima final es el consumidor. “Si una empresa no puede asumir el costo de aplicar una buena seguridad en sus redes de almacenamiento de información privada del cliente, debe considerar el uso de un lápiz y papel ", dijo.

 

Por Fahmida Y. Rashid

 

Traducido y adaptado por el equipo de redaccion de ISEC

ACTIVIDADES

 

ISEC.PE

TODOS LOS DERECHOS RESERVADOS ©2022