Asociaciones público-privadas

Contexto

Estados, empresas y particulares se enfrentan a un panorama de amenazas a la ciberseguridad que evoluciona constantemente a una velocidad nunca vista con cada nueva tecnología que aparece en el mercado. El rápido crecimiento de dispositivos de la Administración, el sector y los hogares que se conectan a Internet agrava este problema ya difícil de por sí. Los problemas a los que nos enfrentamos son demasiado relevantes para que las empresas o entidades los aborden solas. Debemos colaborar, y una forma eficaz de colaboración son las asociaciones público-privadas.

El Framework for Improving Critical Infrastructure Cybersecurity, conocido como el Cybersecurity Framework del NIST, está ampliamente reconocido como un modelo de éxito de la colaboración público-privada que están adoptando organismos públicos y empresas de infraestructuras críticas. La estrategia del NIST ha tenido éxito porque los responsables de la elaboración de políticas y el sector privado definieron una necesidad real —mejorar la seguridad de las infraestructuras críticas—; decidieron que el proceso era abierto, el NIST escuchó al sector privado y se ganó la confianza de partes interesadas clave; y finalmente porque el producto final —un marco flexible—, fue fruto de la colaboración voluntaria y no de rígidas regulaciones. Los responsables de la elaboración de políticas deben recordar que los recientes éxitos del marco son una forma positiva de lograr los resultados deseados.

Por qué es importante para McAfee

McAfee está convencida de que la colaboración en materia de ciberseguridad es la mejor forma de vencer a los ciberatacantes y de proteger nuestras redes, datos, infraestructuras e, incluso, vidas. Creemos que asociaciones público-privadas estrechas y voluntarias son la mejor forma de resolver los grandes problemas de ciberseguridad a los que nos enfrentamos. Estas asociaciones promueven la confianza y la innovación, y están mejor dotadas para tener éxito a largo plazo que las regulaciones públicas muy restrictivas que erosionan la confianza.

Durante más de 10 años, McAfee ha participado activamente en asociaciones público-privadas gestionadas por el Departamento de Seguridad Nacional de Estados Unidos, el NIST y otros organismos. Tenemos puestos de primera línea en el comité del Presidente National Security Telecommunications Advisory Committee (NSTAC), en el Information Technology Sector Coordinating Council, Information Technology-Information Sharing and Analysis Center, National Cyber Security Alliance y National Cybersecurity Center of Excellence (NCCoE).

También estamos convencidos de que la tecnología que es producto de una estrecha colaboración puede desplegarse rápidamente en plataformas de seguridad para que se comuniquen mediante protocolos abiertos. Dicha tecnología estará guiada por el pensamiento estratégico que solo los humanos tienen. Por tanto, la única forma de contar con una estrategia de ciberseguridad ganadora es reunir la tecnología, el sector de la ciberseguridad, la Administración y el sector privado. Esa es la colaboración real.

Recomendaciones de la política

Los responsables de la elaboración de políticas deberían ser cautelosos a la hora de imponer regulaciones y exigencias de ciberseguridad y, en su lugar, deberían apoyar la colaboración voluntaria y el uso de estándares y procedimientos recomendados por el sector. El sector debería ser responsable de la ciberseguridad, dedicarle presupuestos más altos e intensificar la atención de los directivos y la organización.

Los responsables de la elaboración de políticas han hecho un trabajo admirable utilizando el estímulo de las protecciones de la responsabilidad y relajando las normas antimonopolio para incentivar al sector privado y a la Administración de Estados Unidos, y a las entidades del sector privado, a compartir información a gran escala. Sin embargo, pocas empresas comparten de forma activa información sobre amenazas con la Administración y entre ellas. Esta situación nos impide alcanzar nuestro objetivo: crear un ecosistema de información compartida altamente funcional que permita a los sectores público y privado competir con las redes globales de hackers experimentados.

Los organismos federales deberían desclasificar más categorías de información sobre amenazas y compartirlas de forma activa con el sector privado. El Departamento de Seguridad Nacional debería dar más acreditaciones de seguridad a representantes de empresas que cumplan los requisitos necesarios. De esta forma podrían acceder a tipos de información sobre amenazas más confidenciales y posiblemente más valiosos. La Administración de Estados Unidos debería aprobar la ley Cyber Information Sharing Tax Credit Act, que incentivaría a empresas de todos los tamaños a unirse a organizaciones del sector que comparten información, conocidas como Information Sharing and Analysis Centers (ISAC), mediante créditos fiscales que devolverían todos los costes de la incorporación a las ISAC.