Recientemente, representé a Fortinet en una audiencia del Comité de Energía y Comercio de la Cámara de Representantes de EE. UU. sobre el fortalecimiento de la ciberseguridad en una era digital. Destaqué la importancia de Asociaciones Público-Privadas Para fortalecer la resiliencia cibernética en los Estados Unidos, cómo las organizaciones pueden implementar recomendaciones seguras por diseñoy trabajar para cerrar la brecha de la fuerza laboral en ciberseguridad. A continuación, resumo algunos de los puntos clave que señalé en mi testimonio.
La ciberseguridad como deporte de equipo
El entorno tecnológico actual es muy diferente al de cuando me retiré del servicio federal. Hemos visto un movimiento acelerado hacia la nube y un cambio de redes principalmente cableadas a redes definidas por software. También hemos sido testigos de una proliferación de dispositivos de Internet de las cosas (IoT) y un crecimiento espectacular en la amplitud y el poder de los servicios habilitados para IA.
A estos cambios tecnológicos se suma el imperativo impulsado por la COVID de permitir el trabajo remoto y la conectividad fuera del sitio, y el resultado es que la TI y las comunicaciones ahora están enfocadas en permitir la conexión de usuarios, dispositivos, datos y potencia informática, independientemente de dónde se encuentren. están ubicados y cómo se proporcionan.
Satisfacer estas demandas de forma segura es más de lo que cualquier usuario, empresa o agencia gubernamental puede esperar hacer por sí solo. En esencia, la ciberseguridad es un deporte de equipo. Cualquier buen entrenador le dice a su equipo que «hablen entre ellos en el campo». La ciberseguridad no es diferente.
Los ciberdelincuentes hablan entre sí y se asocian activamente para aportar sus habilidades específicas a una empresa delictiva. Para mantenerse al día, la industria y el gobierno deben trabajar juntos para compartir inteligencia sobre ciberamenazas y tener herramientas y sensores de ciberseguridad interoperables. Esta asociación debe ser multidimensional y multidireccional con colaboración y un flujo bidireccional de información entre los sectores público y privado y dentro de cada sector.
Transparencia y confianza
Dado que gran parte de nuestras vidas depende de la tecnología o está habilitada por ella, es importante poder confiar en las redes y tener confianza en la seguridad de los datos que fluyen a través de ellas. Crear una cultura de confianza y mayor transparencia Es crucial para que las organizaciones tomen decisiones complejas de ciberseguridad y ayuden a los usuarios a realizar compras más informadas.
Los consumidores necesitan una mejor visibilidad de los criterios clave de la tecnología que utilizan, incluido dónde se desarrolló o fabricó, el fabricante y la postura de seguridad de la tecnología.
Este enfoque en la confianza fue evidente a nivel de la macro red de comunicaciones con la prohibición de ciertas empresas que se consideraban una amenaza a la seguridad nacional. A medida que la tecnología digital se vuelve más ubicua, deberíamos hacernos las mismas preguntas sobre otros aspectos de nuestras redes de comunicaciones más amplias. ¿Es seguro el enrutador de mi casa? ¿Mi televisor escucha mis conversaciones durante la cena familiar? Los consumidores deben poder confiar en la tecnología que utilizan para aumentar la resiliencia de la postura cibernética de nuestra nación. Una mayor transparencia ayudará a alimentar esta confianza.
La transparencia y la confianza pueden abordarse a través de las fuerzas del mercado. Por ejemplo, aunque la cantidad de dispositivos IoT en uso está creciendo dramáticamente, muchos de estos dispositivos carecen incluso de capacidades de seguridad rudimentarias. Puede resultar difícil incluso para los consumidores sofisticados determinar qué dispositivos tienen la seguridad adecuada.
El programa propuesto de FCC Cyber Trust Mark para dispositivos IoT tiene como objetivo abordar este problema de manera análoga al programa de etiquetado Federal Energy Star que ayuda a los consumidores a evaluar la eficiencia energética de los electrodomésticos. Fortinet aplaude esta iniciativa y cree que podría servir como modelo para permitir una toma de decisiones más informada en otras partes del mercado de la ciberseguridad.
Seguro por diseño
La Estrategia Cibernética Nacional de EE. UU. publicada el año pasado reconoció que necesitamos aumentar nuestra resiliencia cibernética colectiva. Identificó el sector de TI como un elemento clave para el éxito porque prácticamente todas las organizaciones dependen de productos de seguridad y TI comerciales y disponibles en el mercado. La estrategia identificó la necesidad de garantizar que estos productos fueran “seguros desde el diseño”, con la seguridad incluida desde la fase de diseño inicial. También afirmó que estos productos y servicios deberían entregarse en configuraciones que sean “seguras por defecto” en lugar de esperar que los usuarios, como pequeñas empresas y ciudadanos individuales, descubran cómo habilitar las configuraciones de seguridad adecuadas y mantenerlas.
Fortinet se enorgullece de ser una de las empresas que lidera la colaboración entre el gobierno federal y la industria para desarrollar objetivos y enfoques voluntarios que desarrollarán nuestra ciberresiliencia colectiva al garantizar que los productos de TI y comunicaciones sean seguros por diseño y por defecto. Los conceptos de seguridad por diseño son relativamente sencillos. Sin embargo, seguro por defecto es menos intuitivo, por eso ofrezco el siguiente ejemplo. En muchas investigaciones de violaciones realizadas por el equipo de respuesta a incidentes de Fortinet, las herramientas de ciberseguridad de la víctima detectaron actividad anómala y generaron alertas meses antes de que se diera cuenta de la escala total de la intrusión y comenzara una investigación. Desafortunadamente, en muchos de estos casos, sus usuarios no configuraron las herramientas de seguridad para guardar una copia de los archivos sospechosos, lo que ralentizó la detección y la respuesta.
El elemento humano
Las asociaciones también deberían extenderse al apoyo a los consumidores. No es realista esperar que los consumidores “lo hagan solos” con éxito en la comprensión de la ciberseguridad. La persona que utiliza la computadora de su casa, el propietario de una pequeña empresa que compra un punto de acceso Wi-Fi y el administrador de la escuela que compra equipos para los estudiantes necesitan apoyo.
Abordar el elemento humano es parte de la misión de ciberseguridad de Fortinet. Estamos trabajando para ayudar a construir la fuerza laboral cibernética del futuro y garantizar que todos los miembros de la sociedad tengan conciencia cibernética y competencia fundamental en ciberseguridad. Fortinet ha ampliado drásticamente su premiado capacitación gratuita sobre las ciberamenazas y sobre las buenas prácticas de ciberseguridad porque educar a los usuarios en todos los niveles es fundamental para nuestra seguridad colectiva.
Para tener éxito, los esfuerzos con los usuarios deben comenzar a una edad temprana e involucrar asociaciones entre el gobierno, la industria y el mundo académico. Fortinet ha asumido importantes compromisos con esta causa a través del Fortinet Training Institute.
En 2021, nos comprometimos a capacitar a más de 1 millón de nuevos usuarios en un lapso de cinco años para ayudar a cerrar la importante brecha de habilidades cibernéticas; y vamos por buen camino, habiendo logrado más del 43% de este objetivo para fines de 2023. En 2022, nos comprometimos a ofrecer capacitación gratuita en concientización cibernética a todos los profesores y personal de K-12 en los EE. UU. Este programa ha llegado a más de 350 000 usuarios en más de 30 estados. También ampliamos nuestro apoyo al programa K-12 para incluir contenido curricular gratuito para que los maestros lo utilicen en sus planes de lecciones para estudiantes K-12.
La colaboración es clave
Fortinet se enorgullece de ser parte de numerosos programas de colaboración con el gobierno de EE. UU., que van desde el Centro Nacional de Excelencia en Ciberseguridad del NIST hasta la Colaboración Conjunta de Ciberdefensa de CISA. Nuestro amplio enfoque hacia la ciberseguridad refleja el compromiso de Fortinet con la innovación y un tema que creemos es esencial: la necesidad de asociación.
Obtenga más información sobre las colaboraciones en ciberseguridad de Fortinet.