La migración de las operaciones de negocio a un entorno de Tecnologías de Información ha dado beneficios al sector privado pero también riesgos asociados a vulnerabilidades, robo de información e inclusive la paralización de las operaciones del negocio.
El CCHS (Center for Cyber and Homeland Security) de la Universidad George Washington ha publicado el reporte “Into the Gray Zone: The Private Sector and Active Defense against Cyber Threats.” (PDF), en el que propone un marco de referencia con medidas para lo que ha denominado defensa activa, y que refieren a capacidades que puedan ayudar a corresponder las medidas de defensa con las amenazas cibernéticas actuales.
Los riesgos cibernéticos y dependencias han crecido en los últimos años debido a las actividades de actores -de gobierno y no gubernamentales- hostiles en el ciberespacio, que han atacado entidades del sector privado por razones políticas y económicas. Si bien las empresas han mejorado sus medidas de defensa y el gobierno ha dado prioridad en apoyarles, las medidas de defensa actuales no corresponden con la naturaleza de las amenazas cibernéticas de hoy en día.
La defensa activa es un término que abarca un espectro de medidas proactivas de seguridad cibernética que se encuentran entre la defensa pasiva tradicional y la ofensa. Estas actividades se dividen en dos categorías generales, la primera cubre las interacciones técnicas entre un defensor y un atacante. La segunda categoría de defensa activa incluye aquellas operaciones que permiten a los defensores recopilar información de inteligencia sobre los actores y los indicadores de amenazas en Internet, así como otros instrumentos de política (por ejemplo, sanciones, acusaciones, remedios comerciales) que pueden modificar el comportamiento de los actores maliciosos.
Realizado por expertos en tecnología, privacidad, seguridad, leyes y negocios, el reporte incluye un marco normativo para poner en práctica la defensa activa y hace recomendaciones de políticas que apoyen la aplicación de dicho marco. Recomendaciones tanto para el sector privado como para el Ejecutivo y el Congreso de los Estados Unidos para facilitar la aplicación y la adopción del marco.