El Congreso de los EE. UU. Acaba de dar su visto bueno a la legislación de seguridad cibernética considerada durante mucho tiempo como la solución del gobierno al panorama de amenazas cibernéticas en constante crecimiento.
La aprobación de la Ley de intercambio de información sobre ciberseguridad es solo una parte de la batalla en curso entre los defensores de la privacidad y los defensores de la noción de que para combatir amenazas sofisticadas y / o mitigar su impacto, la información debe compartirse entre el sector privado y las agencias gubernamentales. .
Si bien la causa es encomiable, los medios no podrían serlo, dicen los defensores acérrimos de la privacidad.
Según la ley, las empresas que han sido afectadas por un ciberataque deben compartir información sobre amenazas con las autoridades que llevan a cabo la investigación para reducir la gravedad de una violación de datos. La inteligencia sobre amenazas incluye datos personales de los clientes afectados por el ataque.
Los críticos de la ley, sin embargo, han levantado sospechas sobre la ley desde hace mucho tiempo, diciendo que solo institucionalizará los esfuerzos del gobierno para espiar a sus ciudadanos bajo su programa de vigilancia masiva. Eso significa autorizar al gobierno a obtener su información más sensible incluso sin su consentimiento.
Para ser justos, escuchemos el argumento de los proponentes de la ley. Dicen que la brecha de información ha estado presentando un tremendo desafío al esfuerzo del gobierno para ayudar a abordar un ataque cibernético hasta ahora.
Antes, cuando una organización sufría alguna forma de ataque, la empresa se mostraba reacia a revelar información al panel de investigación. Los detalles sobre lo sucedido y otra información necesaria estarían prohibidos incluso para el gobierno cuya única intención, dicen, era ayudar.
Con la ley de ciberseguridad, las empresas permitirán que el Departamento de Seguridad Nacional acceda a lo que denominan indicadores de ciberamenazas que se difundirán a otros posibles objetivos del ataque, evitando así que vuelva a ocurrir el mismo ataque.
Pero la ley parece innecesaria porque el DHS y el Instituto Nacional de Estándares y Tecnología ya han publicado un marco de ciberseguridad mediante el cual el personal cibernético del gobierno opera con una visión clara de cómo responder a un incidente de ataque que involucre a cualquier organización.
Lo único nuevo con CISA es la disposición que dice que el DHS debe compartir la inteligencia de amenazas, incluida la información de identificación personal de los clientes, con la Agencia de Seguridad Nacional para que se puedan tomar las acciones apropiadas para detener más ataques cibernéticos.
Por lo tanto, la privacidad es realmente la mayor parte del problema con CISA, y las empresas están cansadas de perder credibilidad en la medida en que sus clientes las ven cuando se filtran los datos de los clientes.
¿Cree que la nueva ley cibernética puede proteger a las personas y al sector privado? Cuéntanos lo que piensas al respecto en los comentarios a continuación.
