El mes pasado los ataques de ransomware inhabilitaron sistemas críticos de gobierno en Atlanta y Baltimore. Los empleados de la ciudad en Atlanta no tuvieron acceso sus datos, y los ciudadanos no pudieron hacer pagos en línea por el suministro de agua o multas de tránsito, usar el WIFI del aeropuerto y reportar problemas al 311. En Baltimore el centro de llamadas del 911 fue hackeado.
“Lo que sucedió en Atlanta [y Baltimore] le ha pasado a muchas organizaciones. Incluso el tipo específico de ataque de ransomware es bien conocido” dijo Oren Falkowitz, un experto de ciberseguridad quien es un ex-Analista Senior de la Agencia Nacional de Seguridad (NSA) y del Cibercomando de Estados Unidos.
El ransomware encripta los archivos de la víctima y envía una nota de rescate digital, donde se solicita dinero para desencriptarlos.
Como co-fundador de Area 1 Security, Falkowitz trabaja con clientes de los sectores público y privado para incrementar su ciberseguridad. De la forma en cómo él lo ve, hay muchas ciudades, municipalidades y estados que gastan dinero para prevenir los ciberataques de forma equivocada.
“Los gobiernos están gastando una cantidad exorbitante de recursos que no tienen impacto en los futuros daños por ciberataques”, nos dice.
Se apoyan demasiado, indica, en los programas de entrenamiento en ciberseguridad para los empleados. Casi todos los estados de la Unión Americana tienen un programa de estos, pero la capacitación no “provee resultados tangibles en hacer a las organizaciones más seguras”. “Sólo se necesita que una persona dé un clic [..] el entrenamiento no es una solución práctica, es una estrategia de esperanza”.
Si los gobiernos desean realmente prevenir ciberataques, deben dejar de concebirse como víctimas y comenzar a tomar un enfoque más preventivo, dice Falkowitz. Esto incluye identificar las vulnerabilidades en sus sistemas, analizar las amenazas, obtener una solución de software de protección y cuidadosamente ( y de manera pública) medir los resultados de estos esfuerzos.
De acuerdo con el estudio más reciente de la Asociación Nacional de Directores de Tecnología Estatales (NASCIO por sus siglas en inglés), sólo el 57% de los Directores de Tecnología, o CIO, miden la efectividad de sus programas de ciberseguridad. Incluso, muchos de estos esfuerzos están en sus etapas iniciales. Sólo el 12% de quienes respondieron el estudio dijeron que el programa de métricas de ciberseguridad esta operando en su totalidad.
Muchos gobiernos locales y estatales “no tienen una línea de base y no pueden medir a su liderazgo en ciberseguridad. Eso no sólo significa que se deba contratar a un responsable de ciberseguridad, sino contratar a uno que pueda hablar en términos no técnicos, así como hacer responsables de la ciberseguridad ene su áreas a los gerentes para que entiendas su rol en los sistemas y sus vulnerabilidades.
La ciberseguridad no es un problema sólo d ellas áreas de Tecnologías de la Información, sino que también es un tema político y social, tanto como proteger a los ciudadanos del crimen o los programas de desarrollo social, afirma Falkowitz.
“Aún no he visto a candidato alguno hacer propuestas en campaña acerca de los temas de ciberseguridad” concluye el especialista.
Publicado originalmente en Governing.