Se presenta en el senado de los Estados Unidos una proposición de ley
que obligará a los organismos gubernamentales a velar por la seguridad
de las infraestructuras informáticas.
Esta proposición de ley establece que el NIST (National Institute of
Standards and Technology, Instituto Nacional de estándares y tecnología)
deberá establecer una serie de patrones relativos a la seguridad de las
tecnologías de la información y que todos los organismos que dependen de
la administración federal norteamericana tendrán la responsabilidad de
cumplirlos.
La presentación de esta propuesta de ley es un reconocimiento del escaso
interés que hasta la fecha han demostrado muchos organismos públicos de
los Estados Unidos en lo referente a la seguridad de sus
infraestructuras informáticas.
Desde el año 2000, todos los organismos federales están obligados a
realizar análisis de seguridad sus sistemas informáticos, pero el
alcance y ámbito de los mismos es decidido por cada organismo.
De aprobarse la ley, el NIST tendrá la potestad de fijar los
requerimientos a cumplir, que deberán incluir la identificación de
vulnerabilidades significativas en los sistemas de información y la
evaluación trimestral del estado de la seguridad.
Presupuesto de ciberdefensa para el 2004
En otro orden de cosas, el borrador de presupuesto federal de la
administración Bush para el año 2004 muestra un notable incremento en la
partida dedicada a la seguridad informática. Del total de 59.000
millones de dólares destinados a tecnologías de la información, se
prevén destinar 9.600 millones a seguridad informática. Se trata de un
notable incremento respecto a los años 2003 (4.200 millones de dólares)
y 2002 (2.700 millones de dólares).
Retirada de información de las webs militares norteamericanas
En una nueva muestra de la que «seguridad gracias al desconocimiento»
(‘security by obscurity’) no es una buena táctica de protección de la
información, el Pentágono ha ordenado que se retire de las páginas web
del ejército norteamericano cualquier información que pudiera ser «útil»
en manos del enemigo.
El Pentágono esgrime un supuesto manual de al Qaeda donde se indica que,
con sólo consultar las páginas web del ejército norteamericano, es
posible extraer un 80% de la información. El manual incluye las técnicas
a utilizar para identificar la existencia de direcciones (URL) no
publicadas o páginas web no enlazadas, donde se pueden obtener
documentos confidenciales.
No deja de ser curioso que a pesar de toda la inversión que
anteriormente hemos comentado para proteger los sistemas informáticos,
el ejército norteamericano cometa este tipo de errores. Una muestra más
de que la seguridad no es únicamente una consideración técnica, sino que
depende en gran medida de la formación de las personas.
xavi@hispasec.com
Deja una respuesta