La confianza es una palabra muy utilizada en el ámbito de la seguridad de la información y, a menudo, parece una apuesta en el juego de la ciberseguridad. Tenemos confianza cero, en el que creamos un entorno y una cultura donde el objetivo es proteger los datos en todo momento. Luego está la confianza interna, la confianza en que los colegas guardarán secretos corporativos o hablarán cuando vean algo mal.
Cuando se rompe la confianza, las consecuencias pueden ser devastadoras.
La reciente publicación pública del Informe del Inspector General de la Fuerza Aérea en el caso de El aviador de reserva de la Fuerza Aérea de EE. UU. Jack Teixeira cuenta una historia de información clasificada mal manejada, una violación del acceso menos privilegiado y colegas que no cumplieron con la responsabilidad que se les había confiado cuando notaron que Teixeira se alejaba del patrón esperado de su vida. Las acciones de Teixeira, de 21 años, especialista en operaciones de defensa cibernética, al filtrar documentos clasificados relacionados con la guerra en Ucrania en la plataforma de redes sociales Discord, resaltan con qué facilidad se puede romper la confianza incluso en los entornos más estrictos.
La filtración de Teixeira provoca un cambio rápido en la gestión de riesgos internos del Departamento de Defensa
Para que no subestimemos cuán dañina fue la filtración, después de una revisión de seguridad de 45 días de la divulgación no autorizada, el Secretario de Defensa de EE. UU., Lloyd Austin, emitió un memorando creando una nueva entidad, la Oficina de Gestión Conjunta de Amenazas Internas y Capacidades Cibernéticas para abordar el riesgo interno. dentro del Departamento de Defensa (DoD) y garantizar el seguimiento de la actividad del usuario (UAM). Además de abordar la cuestión del riesgo interno, el memorando hablaba de la necesidad de prestar más atención a la confianza y las responsabilidades en la gestión de materiales clasificados y aquellos entornos para incluir dispositivos electrónicos dentro de esos espacios clasificados.
Incluso eso puede no llegar a tapar todas las fugas, según Rajan Koo, cofundador y CTO de DTEX Systems. «Los requisitos para la UAM se crearon hace más de una década y se centran en la vigilancia del usuario, donde los datos capturados sólo son útiles después de que se ha producido una fuga de datos», afirma Koo. «En otras palabras, la mayoría de las herramientas de la UAM capturan datos reactivos que no se pueden utilizar para detener las filtraciones que ocurren en primera instancia».
Se suele decir que el eslabón más débil en la protección de la información es el individuo. Durante mucho tiempo he defendido que el individuo es el eje que mantiene unido todo el esquema de protección y, por lo tanto, debería ser el vínculo más fuerte. Las acciones de aquellos en la cadena de mando de Teixeira demostraron claramente que mi punto de vista, aunque quizás correcto la mayor parte del tiempo, no es absoluto, ya que el inspector general de la Fuerza Aérea señaló tanto una «falta de supervisión» como una «cultura de complacencia». «