A simple vista, las palabras paz y ciberhigiene en la misma frase no tienen sentido. Aun así, hay una razón que explica por qué estos dos conceptos fueron de la mano en el Foro de París sobre la Paz de la semana pasada. No obstante, la razón es sencilla. Ciberhigiene: tomar medidas básicas y de sentido común para proteger el software, los dispositivos y las redes reduce los frentes de ataque que pueden utilizar los delincuentes y los agentes estatales por igual. La ciberhigiene reducirá las probabilidades de que tu red sea percibida como un actor beligerante por el hecho de haber sido pirateada por terceros. La ciberhigiene ayuda a crear un ambiente más confiable y seguro, en el que la gente puede realizar sus tareas diarias con la seguridad de que no le pasará nada desagradable. Es una de las herramientas del paquete de medidas para generar la confianza sobre la que se basa la paz.
Los defensores del Manifiesto de París sobre la Paz, que se pronunció el año pasado en el foro, se han comprometido a colaborar, entre otras cosas, en la “mejora de la seguridad de los productos y servicios digitales, así como la ciberhigiene del público general”. Internet Society se ha sumado a una considerable cantidad de estados, empresas y organizaciones firmantes del Manifiesto de París.
El tema de la ciberhigiene no es nuevo para Internet Society, pero en el Foro de París sobre la Paz destacaron tres actividades.
La ciberhigiene y el comportamient normativo global
La Comisión Global sobre la Estabilidad del Ciberespacio (GCSC, por sus siglas en inglés) habla explícitamente sobre la ciberhigiene. Propone dos normas que están relacionadas: la norma para reducir y paliar vulnerabilidades importantes y la norma sobre ciberhigiene básica como defensa fundacional. Estas dos normas dicen lo siguiente, respectivamente:
- Los desarrolladores y creadores de productos y servicios de los que dependa la estabilidad del ciberespacio deben priorizar la seguridad y la estabilidad, tomar medidas razonables para garantizar que sus productos o servicios estén exentos de vulnerabilidades importantes, tomar medidas para paliar eficazmente vulnerabilidades que se descubran más tarde y realizar sus procesos con transparencia. Todos los actores tienen la obligación de compartir información sobre vulnerabilidades para ayudar a prevenir o paliar actividades maliciosas en el ciberespacio.
- Los estados deben dictar las medidas adecuadas, incluidas leyes y normas, para garantizar la ciberhigiene básica.
La primera norma apela a todos los actores que participan en las actividades cotidianas. La segunda apela al papel de los estados en la creación de un marco político y legislativo para fomentar la ciberhigiene.
Además de las dos normas propuestas, el informe final del GCSC ofrece un conjunto de principios para abordar la paz y la estabilidad en el ciberespacio, así como un conjunto de recomendaciones.
Internet Society lleva tiempo promoviendo la idea de que mejorar la seguridad de Internet es responsabilidad de aquellos que explotan, diseñan y utilizan la red. Existe una gran cantidad de iniciativas que ayudan a mejorar la seguridad de Internet y del ciberespacio en general. Este es el contexto de las dos actividades siguientes.
Usar la tecnología para fortalecer la ciberhigiene
Nos hemos sumado a la iniciativa de CyberGreen, Cybersecurity Tech Accord, Global Cyber Alliance y Microsoft para promover las buenas prácticas actuales potencialmente útiles para abordar la creciente oleada de ataques que aprovechan vulnerabilidades que existen desde hace bastante tiempo. La iniciativa agrupa a todos aquellos que ayudan a impulsar la adopción de medidas indispensables para defenderse contra daños evitables en el ciberespacio. Las medidas consisten en la adopción de normas para la seguridad del enrutamiento (MANRS, por sus siglas en inglés) y la introducción del estándar de autenticación de mensajes, informes y conformidad basada en dominios (DMARC, por sus siglas en inglés).
Esperamos que a lo largo de los próximos meses y semanas se sumen más organizaciones e individuos a las iniciativas para promover los principios de ciberhigiene del Manifiesto de París y suscriban la lista de buenas prácticas que persiguen aumentar la seguridad y fiabilidad de nuestro espacio digital global.
Por favor, consulta el Tech Accord para obtener más información sobre este manifiesto.
Esfuerzos colaborativos a favor de la ciberhigiene
Conseguir un Internet seguro y fiable es una tarea compleja y polifacética. Hacen falta enfoques personalizados que, en función del contexto y la naturaleza del asunto, impliquen a diferentes partes interesadas. En cualquier caso, la colaboración parece ser el ingrediente indispensable para el éxito. Durante el Foro por la Paz expusimos dos iniciativas que abordan diferentes problemas, pero desembocan en un ciberespacio más seguro: el enfoque colaborativo para afrontar el cada vez mayor conjunto de desafíos en seguridad del IoT y el estándar de seguridad de enrutamiento MANRS, que constituyen la estructura fundamental de Internet.
Hemos dedicado bastantes artículos al estándar MANRS, pero si quieres más información al respecto, visita manrs.org. Vamos a centrarnos ahora en los avances en IoT.
El trabajo colaborativo en IoT se despliega en varios frentes. El proceso multilateral canadiense para mejorar la seguridad del IoT ha generado un informe exhaustivo en torno a los siguientes temas:
- Un conjunto de definiciones y marcos de referencia compartidos en torno a la seguridad de los dispositivos conectados a Internet.
- Directrices compartidas para garantizar la seguridad de los dispositivos conectados a Internet a lo largo de su vida útil, incluidos los procesos de desarrollo, fabricación, comunicación y gestión.
- Recomendaciones para conformar políticas nacionales sobre la seguridad del IoT en Canadá.
El gobierno y la comunidad lo han puesto en marcha para abordar los desafíos de soluciones IoT inseguras.
Además de trabajar en el proceso multilateral canadiense sobre la mejora de la seguridad del IoT, la filial francesa de Internet Society ha colaborado con AFNIC, ANSSI, ARCEP, CINOV-IT, Conseil National du Numérique (CNNum), La Quadrature du Net, Nokia y Pôle Systematic Paris-Région para explorar estrategias conducentes a fortalecer la seguridad y protección de los datos personales en el IoT. El informe se publicará próximamente. Los avances en Canadá y Francia no se producen de forma aislada. Se han realizado actividades similares en Senegal y Uruguay.
Hemos ayudado a crear una plataforma innovadora para poner en común las experiencias de estas iniciativas. La Plataforma sobre política de seguridad en el IoT está formada por agencias gubernamentales y organizaciones no gubernamentales (ONG) que trabajan en este ámbito, para aprovechar la fuerza y el conocimiento especializado de todas las partes interesadas, con el fin de desarrollar soluciones para proteger a las personas y las innovaciones en Internet. Mediante la puesta en común de ideas, prácticas y experiencias, la plataforma puede ayudar a armonizar varios enfoques y a impulsar el desarrollo y la aplicación de las medidas. Hasta donde yo sé, se trata de un enfoque genuino.
La vía Internet
El Foro de París sobre la Paz reúne a líderes de todo el mundo interesados en la paz y en la estabilidad, en el contexto de una sociedad digitalizada. Empieza por darse cuenta de que Internet no es una cosa sino más bien un resultado. Un resultado que refleja los valores de compartir y colaborar por un bien común. Hacer Internet, y todo aquello que se conecte a la red, más seguro debe abordarse con el mismo espíritu. El Manifiesto de París sobre Ciberhigiene expresa no solo un objetivo común sino también una visión. Al igual que Internet, conseguiremos estos objetivos con una amplia y repartida batería de esfuerzos colaborativos.