Varios Noticias del Arma Orgánica y Materiales Empleo Táctico y Operaciones Historia 150 TRADUCCIONES seguras como lo sean las personas que las utilizan. Por desgracia, los humanos somos vulnerables a las técnicas de ingeniería social y también propensos a abrir brechas accidentales incluso dentro de las más rigurosas políticas de seguridad IT. La amenaza de la ingeniería social en el ciberentorno -en concreto el “spearphishing” o “phis-hing”, que intenta hacer que los usuarios revelen información personal, tal como nombres de usuarios y contraseñas– está bien acreditada. En 2010, el experto en ciberseguridad Thomas Ryan se inventó un atractivo personaje femenino online llamado “Robin Sage”, que utilizó para acumular cientos de contactos en el gobierno de EEUU, entre los que se encontraban altos funcionarios de organizaciones del gobierno tales como el DoD, la Agencia de Seguridad Nacional y otras agencias de seguridad de EEUU. De acuerdo con su informe, “mucha información revelada a Robin Sage violaba los procedi-mientos de la OPSEC (Seguridad Operacional) y la PERSEC (Seguridad de las Personas)”. En otro notable incidente de error humano en 2008, un contratista militar de EEUU conectó accidentalmente una llave USB a un ordenador militar seguro. Aunque el contratista no tuvo in-tención maliciosa, el error dio como resultado lo que el entonces US Deputy Secretary of Defense William Lynn llamó “la brecha más significativa que se había producido nunca en los ordenadores de EEUU”. Tanto la red militar no clasificada (NIPRNet) como su contraparte clasificada (SIPRNet) se vieron comprometidas. El deseo de prevenir una repetición de este tipo de ataques respaldó, en parte, la creación de un órgano militar en EEUU, el USCYBECOM, en mayo de 2010. Desde entonces, los EEUU han estado encabezando el esfuerzo en la aplicación de una mejor doctrina y estrategia en ciberseguridad. Los esfuerzos militares para mejorar la protección de las organizaciones nacionales de seguridad y la industria de defensa dieron fruto en julio de 2011 con la publicación de la primera “Estrategia para Operar en el Ciberespacio” del DoD. En este documento de estrategia, el DoD delineaba su forma de abordar la ciberseguridad, que llamaba “ciberdefensa activa”. Este proceso proporciona “una capacidad sincronizada, en tiempo real, para descubrir, detectar, analizar y mitigar amenazas o vulnerabilidades… utilizando sensores, software e información para detectar y detener actividad maliciosa antes de que pueda afectar a las redes y sistemas del DoD”. Se acepta que el perímetro de seguridad invariablemente será abierto, pero se espera que los atacantes sean ralentizados una vez entren, utilizando fuerzas de apoyo para identificar, aislar y eliminar las amenazas antes de que se exfiltren datos importantes o se infrinjan enormes daños. Al mismo tiempo, un sistema menos robusto se está extendiendo en el sector privado mediante un PPP enfocado a compartir información. Cuando anunciaba el programa en junio de 2011, Lynn dijo que el DoD, junto con el Department of Homeland Security, había “establecido un programa piloto con un puñado de compañías de defensa para proporcionar una protección más sólida a sus redes. En este Defense Industrial Base DIB Cyber Pilot, el DoD está compartiendo información clasificada con contratistas de defensa, o sus proveedores comerciales de servicios de internet, acerca de amenazas, junto con los conocimientos para emplearla en redes de defensa”. Añadió que el DIB no monitorizaría, interceptaría o almacenaría ninguna comunicación del sector privado y que el programa era “voluntario para todos los participantes”. Aunque los participantes no fueron mencionados oficialmente, el Washington Post informó que los contratistas de defensa implicados en el DIB Cyber Pilot incluían a Lockheed Martin, Computer Sciences Corporation (CSC), SAIC y Northrop Grumman. Hacia agosto de 2011 Lynn confirmó que el DIB Cyber Pilot había “detenido ya cientos de intentos de intrusiones” y “parecía ser rentable”. Sobre esas bases dijo que el DIB Cyber Pilot se ampliaría “al resto de la base industrial, así como a otras áreas clave de infraestructura critica”. Hay una clara necesidad de extender el conocimiento y uso del programa DIB Cyber Pilot. El Cdr Walker comentó a Jane’s que “realmente no hay ningún mecanismo coordinado para proteger el entorno comercial”.
MEMORIAL DE CABALLERIA 73
To see the actual publication please follow the link above