Google protege la seguridad cibernética del sector público para mantenerla bajo control
Google y The Center for Internet Security, Inc., lanzaron esta semana la Google Cloud Alliance con el objetivo de avanzar en la seguridad digital en el sector público.
The Center for Internet Security, fundado en el año 2000 para hacer frente a las crecientes amenazas cibernéticas y establecer un conjunto de protocolos y normas de ciberseguridad como los Controles de Seguridad Críticos de CIS y los Puntos de Referencia de CIS, brinda asistencia a los gobiernos estatales y locales en cuanto a amenazas cibernéticas.
Google Cloud afirmó que aportará a la alianza a los miembros y servicios de su Equipo de Acción en Ciberseguridad de Google, incluyendo información detallada de sus informes Threat Horizons y de su división de inteligencia web Mandiant, para contribuir en "asegurar el ecosistema tecnológico en general, especialmente en lo que respecta a la postura en la nube y las prácticas generales de ciberseguridad", según un comunicado conjunto.
Como se informó en Newsmatic, Google también lanzó este mes su servicio de Software de Código Abierto Asegurado (Assured Open Source Software - Assured OSS) para los ecosistemas de Java y Python sin costo. Esta medida se produjo después de una creciente tendencia en ataques de denegación de servicio motivados políticamente.
El gigante de los motores de búsqueda respondió lanzando su defensa distribuida contra DDoS, Project Shield, para sitios gubernamentales, noticias y periodistas independientes, así como para sitios relacionados con el voto y los derechos humanos.
Asegurando organizaciones gubernamentales estatales, locales, tribales y territoriales
Google Cloud, que recientemente creó Google Public Sector para apoyar a los gobiernos federales, estatales y locales, así como a instituciones educativas, anunció en agosto de 2021 un compromiso de $10 mil millones en seguridad para el sector público durante cinco años.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelThe Center for Internet Security gestiona los Centros de Compartición e Información del Sector Multi-Estatal y las Infraestructuras Electorales, que respaldan las necesidades cambiantes en materia de ciberseguridad de las organizaciones gubernamentales estatales, locales, tribales y territoriales, incluyendo subsectores de infraestructura crítica como las escuelas K-12 y las oficinas electorales.
"Esta colaboración entre CIS y Google es particularmente emocionante porque reúne dos perspectivas poderosas sobre ciberseguridad y las aplica a la comunidad altamente focalizada históricamente subatendida cibernéticamente de las organizaciones gubernamentales estatales, locales, tribales y territoriales de los Estados Unidos", dijo Gina Chapman, vicepresidenta ejecutiva de ventas y servicios comerciales de CIS, en un comunicado. "Las necesidades de ciberseguridad del sector público exigen soluciones eficientes en cuanto a costos que incluyan la implementación y el soporte operativo, y esperamos ver cómo podemos trabajar juntos para respaldar a esta comunidad".
Protegiendo a los hackers éticos, evitando la divulgación no autorizada de vulnerabilidades
Google también es uno de los miembros fundadores de un conjunto de iniciativas lanzadas a principios de este mes bajo los auspicios del Centro para la Política y Legislación en Ciberseguridad:
- El Consejo de Política de Hacking, una división del Centro para la Política y Legislación en Ciberseguridad (CCPL) que se enfrentará a legislaciones que buscan restringir actividades de hacking ético como la prueba de penetración, y que exigen la divulgación prematura de vulnerabilidades a organismos gubernamentales o al público.
- El Fondo de Defensa Legal de la Investigación en Seguridad, que ayudará a financiar la representación legal de personas que enfrentan problemas legales debido a investigaciones de seguridad de buena fe y divulgación de vulnerabilidades en casos que promoverían la ciberseguridad en interés público.
Harley Geiger, abogado de Venable LLP, dijo que las dos organizaciones abordarán la sección 1201 de la Ley de Derechos de Autor del Milenio Digital.
"Para decirlo de manera general, la Sección 1201 establece una restricción sobre la disponibilidad de herramientas que puedan eludir medidas de protección tecnológica para software", explicó. "Básicamente, si estás haciendo disponibles herramientas para evitar medidas de seguridad en el software, hay una restricción heredada sobre eso, y se aplica bastante ampliamente, pero no se aplica a menudo".
Geiger dijo que se necesita una reforma porque las mismas herramientas que utilizan los probadores de penetración para encontrar vulnerabilidades en el software, por necesidad, están diseñadas para eludir medidas de protección de software.
Cómo proteger tu computadora de los virus: métodos y consejos"Esa es solo una parte de la política que debe cambiarse y que afecta a las pruebas de penetración", dijo.
Abordando propuestas para exigir la divulgación de vulnerabilidades
Otras de las exigencias incluyen requisitos en cuanto a la identificación de vulnerabilidades, que según él, constituyen un alto riesgo para las empresas ya que, en una era de desconfianza total, compartir vulnerabilidades con entidades gubernamentales es funcionalmente lo mismo que compartirlas con cualquiera.
"Las vulnerabilidades se descubren de forma continua, así que obviamente quieres minimizar la superficie de ataque", dijo. "Pero es difícil concebir detener el proceso de producción cada vez que se descubre una nueva vulnerabilidad".
Según él, eso sería necesario si las vulnerabilidades se divulgaran tempranamente. Un ejemplo específico es la propuesta Ley de Resiliencia Cibernética de la Unión Europea.
"Si pasa o cuando pase, la UE tendrá un impacto en la ciberseguridad comparable a lo que el RGPD tuvo en la privacidad", dijo. "La forma en que está redactada actualmente requeriría que cualquier fabricante de software revele una vulnerabilidad a una agencia gubernamental de la UE dentro de las 24 horas de determinar que esa vulnerabilidad ha sido explotada sin autorización. La preocupación con esto es que dentro de las 24 horas es poco probable que la vulnerabilidad se haya parcheado o mitigado en ese momento. Lo que podrías tener entonces es una lista en continuo crecimiento de paquetes de software con vulnerabilidades sin mitigar que se comparten con potencialmente docenas de agencias gubernamentales de la UE", agregó Geiger.
En otras palabras, según explicó, NISA la compartiría con los equipos de preparación de seguridad informática de los Estados miembros involucrados, así como con las autoridades de vigilancia.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas"Si se trata de software que abarca toda la UE, estás hablando de más de 50 agencias gubernamentales que podrían estar involucradas. El número de informes que llegan podría ser voluminoso. Esto es peligroso y presenta el riesgo de que esa información se exponga a adversarios o se use con fines de inteligencia", dijo.
Según el CCPL, el Consejo de Política de Hacking:
- Creará un entorno legal más favorable para la divulgación y gestión de vulnerabilidades, recompensas por errores, reparación independiente por motivos de seguridad, investigaciones de seguridad de buena fe y pruebas de penetración.
- Aumentará la colaboración entre las comunidades de seguridad, negocios y formulación de políticas.
- Evitará nuevas restricciones legales a la investigación de seguridad, las pruebas de penetración o la divulgación y gestión de vulnerabilidades.
- Fortalecerá la resiliencia de las organizaciones a través de la adopción efectiva de políticas de divulgación de vulnerabilidades y colaboración con investigadores en seguridad.
Otros miembros fundadores del consejo incluyen a Bugcrowd, HackerOne, Intel, Intigriti y LutaSecurity.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Google protege la seguridad cibernética del sector público para mantenerla bajo control , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados