Cybersecurity and digital privacy

Por qué las empresas forman alianzas de ciberseguridad

Astraed

7 min read

En el mundo físico, los gobiernos son responsables de mantener a los ciudadanos y las empresas a salvo de los enemigos. Pero en lo que respecta a la ciberseguridad y los ciberataques, la mayoría de los gobiernos han dedicado mucho más tiempo a aumentar sus capacidades ofensivas que a proteger a las empresas y las personas. Por eso, en los últimos años, las empresas centradas en la tecnología han empezado a establecer alianzas y pactos de ciberseguridad entre sí. Cientos de empresas, algunas de ellas entre las más grandes del mundo, han formado grupos en torno a objetivos relacionados con el futuro de Internet y las redes digitales. Hay pruebas de que estos esfuerzos han empezado a hacer avanzar la conversación mundial sobre la ciberseguridad, lo cual es una buena noticia. A menos que la cooperación, tanto entre las empresas como entre las empresas y los países, se convierta en la norma, es poco probable que la ciberseguridad mundial mejore.

••• En el mundo físico, los gobiernos son responsables de mantener a los ciudadanos y las empresas a salvo de los enemigos. El mundo digital, hasta ahora, ha sido un poco diferente. En lo que respecta a la ciberseguridad y los ciberataques, la mayoría de los gobiernos han dedicado mucho más tiempo a aumentar sus capacidades ofensivas que a proteger a las empresas y las personas. La razón es que, hasta hace poco, los funcionarios de seguridad nacional consideraban que las redes digitales eran bastante benignas y que los ciberatacantes eran amenazas poco probables para la seguridad o la soberanía de un país. Sin embargo, la llegada de los sistemas ciberfísicos y el Internet de las cosas, junto con la creciente sofisticación de los malos actores, han convertido los ciberataques en problemas de seguridad humana. Pero en gran medida se ha dejado que las empresas se las arreglen por sí mismas. Por eso, en los últimos años, las empresas centradas en la tecnología han empezado a establecer alianzas y pactos de ciberseguridad entre sí. Estas alianzas son un síntoma de la ruptura de la confianza entre los responsables políticos y las personas para las que diseñan las políticas. Cientos de empresas —algunas de ellas, como Airbus, Cisco, HP, Microsoft, Siemens y Telefónica, entre las más grandes del mundo— han intentado colmar este vacío de confianza formando grupos en torno a objetivos relacionados con el futuro de Internet y las redes digitales. Algunos de estos grupos (a los que llamo _alianzas operativas_) son principalmente prácticos, comparten información de inteligencia o técnica. Otros (los _alianzas normativas_) tienen como objetivo explícito cambiar la forma en que las empresas abordan las vulnerabilidades de la ciberseguridad y renegociar el contrato social entre los estados y sus ciudadanos. Las alianzas operativas se crean en torno a pequeños grupos de empresas. Sus intercambios de información sobre ciberataques y amenazas tratan de elevar el nivel colectivo de ciberseguridad, dar forma a las prácticas generales de seguridad y acelerar la adopción de tecnologías de seguridad. Grupos como el[Alianza contra las ciberamenazas](https://www.cyberthreatalliance.org/), el [Ciberalianza mundial](https://www.globalcyberalliance.org/), y el [Grupo de computación de confianza](https://trustedcomputinggroup.org/) (por nombrar algunas) representan la gama de esas alianzas. Para las empresas con departamentos de TI o seguridad capaces de clasificar los datos de ciberseguridad y actuar en función de ellos, a menudo tiene sentido formar parte de una red que pueda mantener a un CISO o un equipo de TI informados de las amenazas que se avecinan y de las mejores prácticas para mitigarlas. La naturaleza de las redes digitales es que todo el mundo tiene que compartir los riesgos; estas alianzas también ayudan a los líderes a compartir soluciones. Las alianzas normativas, por otro lado, hacen llamamientos explícitos a favor de la paz digital, el apoyo del gobierno a las empresas atacadas y la cooperación para limitar el uso de los sistemas y redes privados contra los ciudadanos (especialmente por parte de un estado-nación). Intentan defender valores como la confianza y la responsabilidad en materia de ciberseguridad y de impulsar la acción colectiva en favor de la paz y la no agresión, como lo hacen los acuerdos entre países. Aun así, estas alianzas varían en cuanto a la cantidad que presumen de dictar el comportamiento corporativo o incluso estatal. El[Carta de confianza](https://press.siemens.com/global/en/feature/charter-trust-takes-major-step-forward-advance-cybersecurity), iniciada por Siemens en 2018, está a favor de la autorregulación por parte de sus firmantes corporativos, lo que, con el tiempo, establecería expectativas y normas que podrían aplicarse también a los países. El [Acuerdo tecnológico de ciberseguridad](https://cybertechaccord.org/) , promovida por Microsoft y otras empresas líderes de tecnología, tiene como objetivo crear «un mundo en línea más seguro mediante el fomento de la colaboración entre las empresas de tecnología mundiales»; sus miembros se comprometen a oponerse a los esfuerzos de los países por atacar a los ciudadanos y las empresas. En última instancia, estas alianzas se centran en el resto del mundo y no en las empresas e industrias individuales. Las empresas implicadas piensan que trabajar juntas les da la posibilidad de crear el tipo de entorno digital seguro y pacífico que necesitan para innovar y proteger a sus clientes. Sin embargo, aunque prácticamente todas las empresas apoyan la paz, puede que no tenga sentido que todas las empresas se unan a una de estas alianzas. Las cartas y los acuerdos tienen el potencial de poner a sus firmantes en desacuerdo con al menos un gobierno nacional, si no más. Para las empresas que operan la infraestructura de Internet, esta dinámica ya existe. Las empresas de plataformas más grandes (como Google, Apple, Microsoft y Facebook) se encuentran cada vez más en conflicto con una o más grandes potencias por cuestiones políticas o reglamentarias y también son blanco de ataques sofisticados. Solo uniéndose y presionando por la paz y la seguridad podrán sobrevivir en un ciberentorno aparentemente ilegal. Las empresas que también sean blanco de ataques (o que tengan clientes que lo sean) podrían obtener importantes resultados positivos si se unieran a estas alianzas, independientemente de si se enfrentan a sus atacantes. Por supuesto, no todas las empresas son tan importantes desde el punto de vista sistémico como para tomar una posición sobre la geopolítica de la ciberseguridad. En última instancia, todo se reduce a la tolerancia al riesgo y la capacidad. Puede que sea mejor que estas empresas se protejan lo mejor que puedan mediante una mejor ciberhigiene o uniéndose a las alianzas operativas y de intercambio de información. Puede que estas empresas prefieran quedarse al margen por ahora, dejar que otras empresas impulsen la conversación global y beneficiarse del aumento de la seguridad y la confianza mundiales que las alianzas están empezando a fomentar. Hay pruebas de que estos esfuerzos han empezado a hacer avanzar la conversación para las empresas y los países. El pasado mes de noviembre, por ejemplo, el presidente francés Emmanuel Macron lanzó la»[Llamamiento de París a favor de la confianza y la seguridad en el ciberespacio](https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/france-and-cyber-security/article/cybersecurity-paris-call-of-12-november-2018-for-trust-and-security-in)», una declaración simbólica para mejorar las prácticas de ciberseguridad y los estándares internacionales para Internet. Sesenta y siete países, incluida toda la UE, se han sumado a la promesa, junto con 358 empresas y 139 organizaciones internacionales y de la sociedad civil. (La lista de firmantes incluye el Foro Económico Mundial, en el que trabajo). Como mínimo, la convocatoria representa una oportunidad para que las empresas y los gobiernos que se preocupan por la seguridad a escala mundial cooperen con un nuevo grupo de aliados. Eso no quiere decir que la cooperación vaya a ser fácil o perfecta a corto plazo. En la actualidad, los países más poderosos muestran su aversión a la cooperación en muchos frentes, no solo en la tecnología. Entre los firmantes de la convocatoria de París, por ejemplo, hay tres países notablemente ausentes: EE. UU., China y Rusia. Aunque los Estados Unidos apoyan en general la gobernanza de Internet con múltiples partes interesadas, China y Rusia han optado por un enfoque más aislacionista y controlado por el estado. Rusia, de hecho, tiene[anunció](https://www.theguardian.com/world/2019/feb/12/great-firewall-fears-as-russia-plans-to-cut-itself-off-from-internet) planea desarrollar la capacidad de aislarse por completo de Internet global, similar al «Gran Cortafuegos» de China. E incluso en los espacios que tienen como objetivo fomentar la cooperación entre las naciones, no parece que haya paciencia para ello. Dado el[pasado](https://thediplomat.com/2017/07/un-gge-on-cybersecurity-have-china-and-russia-just-made-cyberspace-less-safe/) y[continuación](https://www.lawfareblog.com/dont-let-cyber-attribution-debates-tear-apart-nato-alliance) deficiencias de los esfuerzos solo estatales para crear normas cibernéticas, uno pensaría que los beneficios de trabajar juntos son obvios. En cambio, ahora hay[dos iniciativas en materia de normas de ciberseguridad que compiten en las Naciones Unidas](https://www.cfr.org/blog/united-nations-doubles-its-workload-cyber-norms-and-not-everyone-pleased): un grupo de trabajo de composición abierta patrocinado por Rusia, que incluye a China y está abierto a todos los miembros de la ONU interesados, y un grupo de expertos gubernamentales patrocinado por los Estados Unidos, que incluye a la Unión Europea, Canadá, Japón y Australia. El aislamiento seguramente será contraproducente, ya que las tecnologías digitales obtienen la mayor parte de su valor de una conectividad más amplia. En el peor de los casos, el aislacionismo digital fomenta la lógica de una carrera armamentista, en la que piratas informáticos dirigidos por el estado, que se esconden detrás de los firewalls nacionales, atacan a empresas y gobiernos aparentemente con impunidad. Pero ningún cortafuegos es perfecto, y esa forma de pensar conducirá inevitablemente a un conflicto o a una guerra fría digital. Como mínimo, el aislamiento amenaza con hacer descarrilar los beneficios que hemos obtenido gracias a un uso más amplio de Internet global. Por lo tanto, las empresas y las personas, las que probablemente asuman los costes del conflicto, deberían seguir trabajando juntas siempre que puedan. Los esfuerzos de cooperación mantendrán la presión sobre los gobiernos para que reconozcan que no son los únicos actores que importan en el mundo digital. Solo la cooperación puede evitar una nueva era de aislacionismo global y conflictos digitales. El Foro Económico Mundial[Centro de Ciberseguridad](https://www.weforum.org/centre-for-cybersecurity) está trabajando para apoyar las nuevas arquitecturas globales de seguridad que reconozcan la realidad del mundo digital. En esta realidad, las naciones son tan importantes como siempre lo han sido; siguen siendo las que protegen en última instancia a sus ciudadanos. Pero la sociedad civil y las empresas también son importantes como impulsoras de los derechos humanos y la prosperidad económica. Lo que se necesita ahora es la cooperación a mayor escala, grupos más amplios de aliados que trabajen juntos para generar confianza y compartir la responsabilidad, a fin de proteger al creciente número de ciudadanos que dependen de las redes digitales para sobrevivir y prosperar.

Read more