Demasiados estados y municipios aún dependen del envejecimiento de los sistemas; Es hora de que mejoren su juego y traten la tecnología electoral como lo harían con cualquier otro proyecto de seguridad.
La vieja maldición, "Que vivas en tiempos interesantes, " Parece apropiado en estos días, ya que buscamos navegar los desafíos de asegurar los sistemas electorales en los Estados Unidos.
En diciembre de 2019, el gobierno federal asignó $ 425 millones a los estados para mejorar su seguridad electoral. Esta es la segunda ronda de financiación para proteger los sistemas de votación; el primero, en 2018, totalizó $ 380 millones. Aproximadamente el 90% de ese dinero se asignó a nuevas máquinas de votación y otros proyectos de ciberseguridad para las elecciones. Sin embargo, muchos consideran que ambas asignaciones no son suficientes para invertir adecuadamente en la seguridad electoral, incluida la contratación de expertos en ciberseguridad, la realización de auditorías posteriores a las elecciones y la actualización de las bases de datos de registro y las máquinas de votación.
Es por eso que debemos centrarnos en las áreas más efectivas para asignar los fondos recientes para mejorar la seguridad de nuestras elecciones.
¿Cómo empezamos?
Estados Unidos es conocido como un país tecnológicamente avanzado, y hay muchas opciones para emprender este viaje. Sin embargo, la realidad es que muchos estados y municipios aún dependen de sistemas e infraestructura obsoletos, que a menudo son complejos y descentralizados. Este problema de fragmentación solo es suficiente para darnos una pausa. Combine eso con recursos limitados y una brecha creciente en el talento de seguridad cibernética, y tenemos el potencial para un tren fuera de control.
En primer lugar, este problema debe analizarse como lo haría una organización típica con un presupuesto de seguridad. Un esfuerzo de esta magnitud necesita una planificación y ejecución impecables. Aquí hay cinco consejos para comenzar el proceso de la manera correcta.
- Contratar un CISO específicamente para proyectos de seguridad electoral. Al igual que cualquier otra organización contrataría a un ejecutivo de seguridad para supervisar los esfuerzos de seguridad, los gobiernos federales y estatales deben hacer lo mismo. Si bien tenemos jefes de seguridad para los estados y, a veces, para los municipios, hay tanta descentralización que es difícil que todos los expertos en seguridad estén en la misma página y acepten lo que es necesario. Esto también ayuda al problema común de falta de transparencia entre los estados y el gobierno federal.
- Evalúe el entorno actual y cree un modelo de seguridad electoral personalizado. Todo, desde el nivel de la red y el firewall, hasta la aplicación y la capa de datos, debe evaluarse a fondo y asegurarse de que estén completamente implementados, sean operativos y efectivos. A menudo podemos aprender de otras organizaciones, de diferentes industrias, que han tenido éxito en la implementación de un modelo de seguridad sólido, transparente y efectivo para su empresa. Sería útil buscar el consejo y el consejo de aquellos líderes que han alcanzado ese nivel y que también pueden ayudarlo a ver los puntos ciegos.
- Proteja las aplicaciones en los sistemas de votación reales. A menudo nos apresuramos a dar una palmada a la seguridad del perímetro con la esperanza de que estas medidas se encargarán de la mayoría de los posibles incidentes. Pero esta forma de pensar es limitada. Si hay algo que los últimos 15 años nos han enseñado, es que el perímetro se está rompiendo, y muchos expertos sostienen que ya está disuelto de manera efectiva. Esto dio lugar a marcos como la seguridad de confianza cero, que dado el uso de tecnologías en la nube y la economía de colaboración, establece claramente que todos los aspectos de la tecnología y la seguridad deben defenderse.
Ya no podemos confiar únicamente en el firewall y la seguridad de la red. Debemos proteger las aplicaciones y los datos en sí. Esto incluye la implementación de protocolos extensivos de prueba de aplicaciones, como Pruebas de seguridad de aplicaciones estáticas (SAST), Pruebas de seguridad de aplicaciones dinámicas (DAST) y Análisis de composición de software (SCA), durante todo el ciclo de vida de desarrollo de software, para garantizar que su código de software no sea explotado y solía derribar la infraestructura crítica y otras tecnologías del sistema electoral. O peor aún, que su software electoral no ha sido pirateado, y los votos reales y los resultados electorales han alterado, pirateando así nuestra democracia.
- Comprenda los riesgos de utilizar compañías de desarrollo y seguridad de terceros.
Los proyectos de desarrollo y seguridad de outsourcing pueden introducir riesgos que cualquier organización debe considerar antes de continuar con este modelo. Estos peligros potenciales pueden afectar negativamente el resultado final de la empresa y detener los proyectos críticos antes de que puedan ser lanzados. ¿Estos proveedores externos entienden profundamente el problema y los resultados comerciales que necesita? También es importante conocer sus prácticas de diligencia debida y calidad de software cuando se trata del desarrollo y la seguridad de las aplicaciones que impulsan los sistemas electorales.
- Toque la investigación de amenazas, los COS y la respuesta a incidentes. Está bien entendido que no puedes proteger lo que no puedes ver. Asegúrese de que haya un centro de operaciones sólido para este esfuerzo en todo momento y que esté aprendiendo de los flujos de datos que está descubriendo. Esto incluye la investigación sobre amenazas particulares, que pueden alimentar un plan general de respuesta a incidentes en caso de que ocurra algo. Las plataformas de gestión de seguridad y SIEM pueden ayudar en este esfuerzo.
Lo más importante es...
Este no es un viaje a corto plazo, y ciertamente no es fácil, pero es posible llegar allí si lo hacemos bien. Se necesita la participación y colaboración entre los estados, los municipios y el gobierno federal, así como las compañías de seguridad que pueden ayudar a proporcionar orientación y terceros que pueden ayudar en los esfuerzos de desarrollo e implementación. No perdamos más tiempo y dinero. Trabajemos juntos y gastemos esta última asignación de la mejor y más inteligente manera posible. Trabajemos juntos para mantener nuestra democracia a prueba de piratería.
Contenido relacionado:
Craig Hinkley se unió a WhiteHat Security como CEO a principios de 2015, aportando más de 20 años de liderazgo ejecutivo en el sector de la tecnología a esta función. Craig está impulsando un enfoque centrado en el cliente en toda la empresa y ha ampliado la marca y visibilidad global de WhiteHat ... Ver Biografía completa
Más Información
