Aquí está el gran problema con demasiada confianza Zero Trust es un concepto popular en ciberseguridad, que se refiere a procesos que eliminaron toda la confianza de los usuarios finales.
Por Joel Wallenstrom
Este artículo fue traducido de nuestra edición en inglés.
Las opiniones expresadas por los colaboradores de Entrepreneur son personales
Zero Trust es un concepto popular en ciberseguridad. Inicialmente se refería a los equipos de seguridad empresarial que creaban procesos que eliminaban toda la confianza de los usuarios finales.
Este es un enfoque válido. A mí, por ejemplo, me gusta dirigir empresas a las que no les importe que los empleados hagan clic en enlaces malos. Entendemos que será imposible de evitar, por lo que nos preparamos para lo inevitable y no tenemos ninguna confianza en que nuestros empleados se comportarán perfectamente.
Pero cuando se aprieta el "globo de la confianza" para quitar la confianza a los usuarios finales, ¿adónde va? Hay dos posibles destinatarios: las organizaciones de seguridad empresarial y el software que compran las empresas.
Dado que las organizaciones de seguridad carecen de personal y están abrumadas en todas partes, las fuerzas del mercado han intervenido para apretar el globo de la confianza una vez más. La confianza ha sido eliminada del usuario final y delegada por organizaciones de seguridad empresarial con poco personal a grandes proveedores de servicios y empresas de software. Confiamos en las grandes tecnologías (Google, Facebook, Amazon, Microsoft, Slack y Zoom) para que sean los administradores de nuestros datos más importantes. Hemos depositado nuestra confianza en una industria basada en la velocidad y la aceptación del riesgo que no tiene más responsabilidad que las fuerzas del mercado.
Donde los modelos de confianza cambiantes van mal
Si bien puede parecer una solución razonable confiar sus datos a las grandes tecnologías, primero debe tener claro una cosa: estas empresas están interesadas principalmente en aumentar su participación de mercado, no en la seguridad. Por ejemplo, Zappos está de acuerdo con cierto nivel de fraude , Microsoft Teams está de acuerdo con la ejecución ocasional de código remoto y SolarWinds era más rentable si no controlaban sus procesos de creación de software . En estos casos. la seguridad y la privacidad de los datos se desvincularon de la rentabilidad y la valoración. La baja calidad y el alto riesgo eran resultados aceptables en la búsqueda de altas valoraciones y creación de riqueza ejecutiva.
Pero el Departamento de Justicia no puede operar con un modelo de riesgo similar. No está bien que Rusia tenga acceso ilimitado al correo electrónico del Departamento de Justicia y la Oficina de Gestión de Personal no puede estar de acuerdo con la brecha ocasional que le da acceso a la agencia de inteligencia de China a los archivos de personal de 22 millones de empleados del gobierno . Es obvio que nuestros intereses de seguridad nacional no están respaldados por el uso de software vulnerable. Y, sin embargo, el aparato de seguridad nacional depende de la tecnología que prioriza la rentabilidad y la valoración por encima de todo.
El efecto de las fuerzas del mercado en la seguridad
Las fuerzas del mercado han dictado que una mentalidad de moverse rápido y romper cosas es la forma más confiable de lograr la mayor participación de mercado y valoración posibles. Para un director ejecutivo de tecnología, el camino más largo hacia el estatus de multimillonario ha sido el desarrollo de productos seguros y bien diseñados. Nuestros modelos de confianza cambiantes han puesto la responsabilidad de la seguridad de los datos a los pies de quienes toman las decisiones con el menor incentivo para desarrollar software seguro.
No quiero sugerir que los directores ejecutivos multimillonarios de las empresas de software más grandes del mundo estén naturalmente inclinados a abusar de la privacidad y los datos; más bien, son genios motivados por las ganancias que naturalmente están inclinados a competir y ganar dentro de los carriles de natación reglamentarios que se les asignan. .
Relacionado: Tendencias de ciberseguridad que dominarán el mercado en 2020-21
La importancia de la responsabilidad
La administración Clinton le dio a la industria de la tecnología de EE. UU. Una tarjeta para salir de la cárcel sin cargo con la Ley de Telecomunicaciones de 1996 . Como resultado, Silicon Valley dominó: la innovación creció y se mantuvo en los EE. UU. Moverse rápido y romper cosas era el enfoque correcto. Sin certificaciones, sin permisos, sin consecuencias por cuestiones de seguridad o privacidad. Ahora es el momento de examinar la responsabilidad y poner a los directores financieros y directores ejecutivos en apuros por una ingeniería poco fiable.
En 2013, HTC envió 18 millones de dispositivos móviles vulnerables y fue multado por la Comisión Federal de Comercio (FTC) . En 2019, Google recibió una multa récord de $ 57 millones por parte de la UE por violaciones de privacidad y en el mismo año, Facebook recibió una multa récord de $ 5 mil millones por sus infracciones de privacidad. En diciembre pasado, Noah Phillips, miembro de la FTC, testificó ante el Comité Senatorial de Comercio, Ciencia y Transporte que las acciones de aplicación de la privacidad del consumidor de la FTC contra Facebook, TikTok, YouTube, Zoom y otras empresas ya habían tenido un " mayor impacto que cualquier otro en el mundo ". Esto puede ser visto por el profano como un progreso y direccionalmente correcto.
La triste realidad es que estas multas son tan intrascendentes que en realidad promueven la imprudencia. Google genera casi $ 370 millones por día a partir de anuncios . Una multa "récord" de $ 57 millones no es un obstáculo, es una invitación a pisar el acelerador. Más que nunca, las fuerzas del mercado le están indicando a la industria de la tecnología que ignorar la seguridad es su estrategia más rentable. Ingrese a la línea de conga de vulnerabilidades y brechas de seguridad en 2020.
Esta es solo una muestra de los incidentes de seguridad del año pasado que fueron más emblemáticos del software mal diseñado que afectaron a las grandes empresas y la seguridad nacional:
Hay mentes de seguridad talentosas empleadas en la mayoría de las grandes empresas de software, pero sus funciones carecen de servicios y están desatendidas. Seguirán siéndolo a menos que los reguladores se tomen en serio la aplicación. Las multas deben aumentarse a niveles que tengan un impacto material. Los palitos pueden ser motivadores, pero las zanahorias también funcionan. Deben auditarse los balances y aumentar la inversión en ingeniería de seguridad en toda la industria. Las vulnerabilidades del software y las filtraciones de datos deberían desencadenar una supervisión obligatoria y aumentos en los presupuestos de seguridad.
Relacionado: 5 consideraciones de seguridad clave para proteger la fuerza de trabajo remota
¿Qué se puede hacer?
Deberíamos exigir más a las empresas de tecnología y crear marcos regulatorios que las responsabilicen por la seguridad inaceptable de los productos. La pregunta que enfrenta nuestra industria NO es si el Pentágono debería usar el manual de estrategias de brecha y respuesta que se usa para construir y vender timbres de video . Sabemos que la respuesta es no.
Solo tenemos que dejar de rebajar nuestros estándares de seguridad en nombre de la conveniencia . Los enormes costos requeridos para recuperarse de la violación de SolarWinds / Microsoft no son una carga aceptable para los contribuyentes. Le damos toda nuestra confianza a los grandes proveedores de tecnología: en estas empresas de software se crean billones de dólares de riqueza. Ahora es el momento de que estas empresas también sean dueñas de su parte justa de responsabilidad.
Relacionado: Los principales riesgos de seguridad que enfrentan las pequeñas empresas y cómo ...