Para mejorar la ciberseguridad, la nación no se merece una solución que se haga a la carrera mediante una orden ejecutiva. La actual redacción de la orden ejecutiva de seguridad informática está siendo vista por algunos como la panacea, largamente esperada, para la “falta” de motivación de sectores clave de la industria para autoprotegerse. Lo cual es ridículo.
Actualmente, la razón de las empresas para no compartir su información sobre las intrusiones informáticas que sufren tiene poco que ver con la motivación o la pereza. Está relacionada con las decisiones financieras y empresariales tomadas por las administraciones de las empresas. Si informar de una intrusión va a perjudicar a su empresa y va a hacer poco o nada para ayudar a otras compañías, ¿para qué hacerlo? Si una gran compañía piensa que compartir información la expone a algún perjuicio en el mercado o que ya será demasiado tarde como para proporcionar datos relevantes del ataque a compañías similares del sector, es comprensible que esta tenga pocos incentivos para compartirla.
Súmele eso a la inquietud de que una información confidencial pudiera quedar expuesta mediante solicitudes de aplicación de la ley de Libertad de Información (FOA) una vez que se convierta en “propiedad del gobierno”. Y finalmente, añádale que compartir esa información puede poner a las compañías en riesgo de que alguien afectado por esa información las demande y podrá ver quién es el culpable de que no se comparta ese tipo de información. Y no son las empresas.
Es importante observar que una orden ejecutiva no puede añadir ningún tipo de protección decisiva; eso sólo puede hacerlo la legislación. Una orden ejecutiva se queda corta y lo único que consigue es ralentizar al Congreso, que tendrá que lidiar ahora con nuevos estándares ejecutivos y regulaciones.
¿Necesitamos mejorar la ciberseguridad? Absolutamente. ¿Debería el gobierno desempeñar algún papel en esa iniciativa de mejora? Sin duda. Entonces ¿cómo le podemos dar una solución al problema?
En primer lugar, cualquier nueva ley debe proporcionar a las empresas protección para las preocupaciones antes mencionadas, sin decirles exactamente qué enfoque de ciberseguridad se ha de adoptar. Las empresas necesitan ser incentivadas para que mejoren su seguridad. Y ninguna empresa debería esperar que le “paguen” por autoprotegerse, pero sí necesitan que les aseguren que tomar la decisión correcta de acuerdo con la normativa no les costará dinero (más allá de la inversión necesaria) en posibles litigios ni que sufrirán un escarnio público innecesario así como que el riesgo que tomen al compartir su información será realmente beneficioso para otras empresas.
Una orden ejecutiva de seguridad informática sirve para poco más que para el orgullo de “hacer algo” (y hacerlo antes del día de las elecciones) y para tener un nuevo conjunto de estándares. La afirmación de que todos ellos serán voluntarios y de que no darán como resultado una nueva superestructura burocrática y reguladora es tan claramente débil como para que parezca una broma. Tal maniobra podría hacer felices a los políticos, pero proporcionaría poca seguridad adicional.
Una orden ejecutiva de ciberseguridad es una mala política de actuación, Sr. Presidente; sin duda alguna, podemos hacerlo mejor.
La versión en inglés de este artículo está en Heritage.org.
