El Departamento de Seguridad Nacional de EE. UU. Miembros del Comité Ejecutivo del Consejo de Coordinación Gubernamental de Infraestructura Electoral (GCC) - Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) Director Asistente Bob Kolasky, Presidente de la Comisión de Asistencia Electoral de EE. UU. Benjamin Hovland, Presidente de la Asociación Nacional de Secretarios de Estado (NASS) Maggie Toulouse Oliver, presidenta de la Asociación Nacional de Directores Electorales Estatales (NASED), Lori Augino, y el supervisor de elecciones del condado de Escambia (Florida), David Stafford, y los miembros del Consejo de Coordinación del Sector de Infraestructura Electoral (SCC), presidente Brian Hancock (Unisyn Voting Solutions ), El vicepresidente Sam Derheimer (Hart InterCivic), Chris Wlaschin (Sistemas y software de elecciones), Ericka Haas (Centro de información de registro electrónico) y Maria Bianchi (Democracy Works), emitieron una declaración conjunta en la que señalaron que "Las elecciones del 3 de noviembre fueron las más seguro en la historia de Estados Unidos ".
Se supone que estaba a salvo de adversarios extranjeros. Ese resultado es positivo considerando tan recientemente como el 21 de octubre de 2020, Rusia e Irán habían robado información de registro de votantes.
Con esa línea de base, preguntamos a algunas personas de la comunidad de Cyber Security Hub qué lecciones se pueden aprender para las empresas corporativas globales de este ciclo electoral de EE. UU. Si bien estas son citas directas, se proporcionan de forma anónima.
Estar seguro y digno de confianza
“La gente se resiste a cambiar. Entonces, si tuvieran una opción de 'voto inteligente', es posible que no confíen en ella. Puede que no confíen en la tecnología. Podrían pensar que podría ser pirateado. La lección para las corporaciones es la óptica y la garantía de que el producto que vende ha sido probado con lápiz. Ha sido sometido a pruebas de estrés. Ha pasado por toda la batería de pruebas de todo lo que puedes hacer. Dé ese sello de aprobación de 'Good Housekeeping', que en circunstancias conocidas, este es un producto bien conocido. Necesita construir esa confianza en su cliente, que lo que está ofreciendo es seguro ".
Superando el miedo, la incertidumbre y la duda
“Los malos seguirán aprovechándose del miedo, la incertidumbre, la duda. Eso es un hecho. Ya sea COVID, ya sea gubernamental, ya sea votando, ya sea 'necesitamos que hagas esto porque estás trabajando de forma remota' o 'Microsoft dice', los piratas informáticos se aprovecharán de ese miedo, incertidumbre, duda. "
Comprensión de los actores de amenazas externos
“Es importante que las empresas comprendan que existen actores de amenazas externas que intentan influir en su negocio. Podrían ser competidores, podrían ser otros atacantes y podrían ser malos actores que regresen para obtener inteligencia sobre amenazas. Es muy importante comprender dónde están sus riesgos, dónde están sus amenazas ".
Riesgo de contextualización
“Tenemos que seguir siendo más contextuales en nuestra comprensión de los riesgos. Hay muchos ataques que suceden y han sucedido que en realidad eran una especie de ataques de prueba que se estaban preparando para convertirse en ataques más concretos y, según el contexto, según mi negocio y mi configuración, necesito poder ver lo que eso significa. Entonces, ¿qué has hecho? ¿Qué está haciendo para adelantarse a eso, para planificarlo, para asegurarse de que comprende lo que significa esa amenaza para usted? Si se trata de la puerta principal, lo tienes bastante claro. Pero, ¿qué pasa si entra por la puerta trasera? ¿Ha pensado en todos los ángulos e impactos potenciales? Así que creo que esta temporada lo ha hecho probablemente para mi organización más que para cualquier otra cosa. ¿Qué tan bien entendemos realmente la amenaza? Y en base a ese entendimiento, ¿es suficiente? "
Comprensión del riesgo residual
“La verdadera pregunta que deben hacerse los líderes corporativos es a nivel de política de seguridad nacional, ¿es apropiado continuar con nuestra política de nombrar y avergonzar? Muchas organizaciones, organizaciones comerciales, se están interesando en la atribución. No tendríamos el Mondelez versus Zurich Charlie Foxtrot hoy si no hubiera habido una política de nombrar y avergonzar al actor del estado-nación, lo que permitió a un proveedor de seguros cibernéticos, Zurich Insurance, decir que el ataque cibernético contra Mondelez no está cubierto. porque es un acto de guerra. Y esta política de nombrar y avergonzar, en última instancia, les está dando a las aseguradoras una razón para denegar la cobertura de pólizas legítimas, lo cual, nuevamente, si ha transferido parte de su riesgo residual a su proveedor de seguros, esta política nacional asociada con nombrar y avergonzar, no es una buena opción. algo para nadie en ese sentido ".
Y así, las lecciones aprendidas de este ciclo electoral en Estados Unidos parecen ser sencillas y estar en línea con lo que se debe hacer en seguridad cibernética día tras día. No solo sea seguro, sino también confiable para sus clientes internos, socios externos y clientes externos. Supere el miedo, la incertidumbre y la duda de factores externos, pero también de sus partes interesadas internas. Por supuesto, siempre aprenda sobre sus actores de amenazas externos. Contextualice el riesgo aparente y refuerce las vulnerabilidades en consecuencia. Y finalmente, únase a la conversación más amplia sobre el riesgo residual.
