Existe un estigma creciente con respecto a la falta de una infraestructura de datos sólida por parte del gobierno de los EE. UU. Para protegerse de los ataques cibernéticos, especialmente porque la noticia de un ataque a la Oficina de Administración de Personal aún está fresca.
El hack de OPM sirve como una confirmación de la lucha continua que están teniendo las agencias gubernamentales cuando se trata de combatir a los ciberdelincuentes, así como de mantener la seguridad de sus sistemas informáticos. El ataque a OPM es, de hecho, solo el último de una serie de eventos similares que hemos presenciado en el pasado y que sucedieron en varias agencias gubernamentales.
Lo que impulsa esta tendencia es el hecho de que una gran mayoría de las aplicaciones utilizadas por las agencias gubernamentales en los Estados Unidos no cumplen con los estándares de seguridad de software prescritos y que las agencias tardan en reparar las lagunas de seguridad una vez que las encuentran. Esto es según un estudio realizado por Veracode, una empresa de seguridad de aplicaciones con sede en EE. UU.
Veracode señaló que en muchos puntos de referencia de puntuación para las prácticas de seguridad, el gobierno está constantemente a la zaga del sector privado. Por un par de razones. Uno, las agencias gubernamentales todavía están empleando lenguajes de programación y secuencias de comandos heredados que deben actualizarse.
Algunos de estos lenguajes de programación datan de la década de 1990, como ColdFusion, que ya es muy antiguo. Los lenguajes modernos incluyen Java y .NET.
También está el problema de la mala autorregulación y la falta de implementación de políticas de seguridad. ¿Por qué esto es tan? A diferencia del sector privado, hay poco sentido de competencia dentro del sector público, lo que no estimula mucho esfuerzo para modernizar los recursos de software.
Pero habría estado bastante bien, sin embargo, incluso si los lenguajes de programación antiguos permanecen en uso siempre que los problemas de seguridad se solucionen inmediatamente después de la detección. El problema con las agencias gubernamentales son las acciones a ritmo de tortuga para remediar fallas de seguridad, que conducen a más vulnerabilidades.
El enfoque excesivo del gobierno en el cumplimiento también es parte de lo que contribuye a las malas prácticas de seguridad. En lugar de basar sus evaluaciones en factores de riesgo, se encuentran demasiado ocupados cumpliendo con las regulaciones que pretenden cumplir, aunque a veces son innecesarias y no las exigen las circunstancias.
Las aplicaciones de terceros también son parte de la culpa. La dependencia del gobierno de los servicios subcontratados a menudo conduce a un estado débil de la seguridad del software porque no existe un estándar establecido para que los proveedores de software prueben su producto para verificar el cumplimiento de las políticas de seguridad.
Luego está la falta de expertos en seguridad que estén calificados para revisar aplicaciones y software antes de su implementación en agencias gubernamentales.
Lo que se debe hacer para abordar los constantes problemas cibernéticos que enfrentan las agencias gubernamentales es evaluar la cadena de suministro, responsabilizar a los proveedores e invertir en capacitación para expertos en seguridad.
