El intercambio seguro de información crítica entre el gobierno federal y el sector privado es parte importante de la protección de la infraestructura de la nación y la propiedad intelectual contra atacantes y ladrones cibernéticos, indica la firma de seguridad, NSS Labs.

"Han pasado 10 años desde el surgimiento del primer consenso nacional en los Estados Unidos en el que se planteó que aún quedaba mucho por hacer para proteger la infraestructura nacional de computadoras y comunicaciones", señaló NSS en un reporte.

"Sin embargo, aún estamos luchando por encontrar y habilitar el nivel adecuado de cooperación pública y privada, así como por la asignación de responsabilidades para proteger la infraestructura crítica de la nación, que, en gran parte, pertenece y es operada por el sector privado".

Aunque reconoce los avances en el intercambio de información de los servicios financieros y las industrias de defensa, el reporte señala que aún falta mucho por hacer para crear conciencia de la situación que atraviesa la infraestructura crítica de la nación y para aprovechar al máximo las capacidades de inteligencia cibernética del gobierno de los Estados Unidos para una mejor protección.

De acuerdo al reporte:

• Los sectores públicos y privados se enfocan en la seguridad cibernética desde diferentes perspectivas: el gobierno, por lo general piensa, en términos de los peores escenarios, mientras que el sector privado piensa en términos de los posibles resultados.
• El sector privado requiere información específica, oportuna y concreta. Los datos proporcionados por fuentes gubernamentales pueden ser genéricos, obsoletos, censurados o potencialmente clasificados.
• Las preocupaciones y responsabilidades continúan retardando un mayor intercambio de información pública/privada.  
• La seguridad cibernética en el intercambio de información computadora a computadora es actualmente soportada sólo en pocos casos.

 “El objetivo del sector privado es proteger su propiedad intelectual y la marca de su compañía. Eso es todo lo que quieren hacer”, dijo en una entrevista el vicepresidente de investigaciones de NSS y autor del reporte, Ken Baylor. “Lo que el gobierno quiere hacer es estandarizar la forma en que el sector privado responde ante amenazas cibernéticas y además, asegurarse de que respondan bien”, continuó, “y eso es también una fuente de inteligencia e información para ellos. Lo que el sector privado teme es que el gobierno vendrá con un montón de normas extralimitadas que requerirán realizar acciones irrelevantes para ellos, pesadas y sin valor”, agregó.

Un mejor entendimiento por parte del gobierno y la industria sobre la relación que existe entre la seguridad y el cumplimiento es importante, agregó en una entrevista Phyllis Schneck, vicepresidenta y directora de tecnología del sector público de McAfee. “Se necesita mayor diálogo y colaboración para fomentar la innovación creativa para obtener la mejor seguridad, no basta con el cumplimiento. Si sigues una serie de normas, podrás marcar una serie de casillas y tendrás un gran cumplimiento, pero no necesariamente estarás seguro. Las normas se mueven demasiado lento para protegernos contra la rapidez con que nuestros adversarios están atacando”. El intercambio público/privado está desequilibrado porque el gobierno no solo tiene el poder de forzar el acceso a la información del sector privado, sino que también mantiene un cúmulo de información clasificada que no quiere o puede compartir. “Es una reunión de no iguales”, dijo Baylor.

Las perspectivas públicas y privadas acerca de las amenazas cibernéticas pueden producir inconvenientes en el intercambio. “El sector público ve todo como una amenaza”, dijo en una entrevista Shane Shook, director de conocimiento y vicepresidente global de consultoría en Cylance. “Mientras tanto, el sector privado diferencia entre las amenazas que afectan al negocio y los riesgos a los que están expuestos constantemente, que pueden ser ataques DDoS, malware, script kiddies o hacktivistas. El sector privado se toma el tiempo para diferenciar entre riesgos y amenazas, mientras que el sector público no lo hace”, apuntó. “El sector público tiene un tipo diferente de tolerancia al riesgo, no puede darse el lujo de ignorar cualquier tipo de riesgo”.