“¿No tendría sentido tener un régimen de notificación obligatoria de los fallas de Seguridad Informática?” preguntó Geer a su audiencia en el congreso de Black Hat. También sostuvo que las empresas deberían enfrentar cargos criminales si evitan reportar situaciones de riesgo informático a las autoridades.
Sugirió que los ataques “por encima de cierto umbral”, deberían ser reportados a organismos competentes. En tal sentido, hizo referencia a los procedimientos internos que se ejecutan en la Fuerza Aérea de los Estados Unidos, donde los informes sobre cualquier tipo de ataque sobre la Seguridad Informática son tratados como si fuesen emergencias de aviación.
Recurriendo a una metáfora, Geer comparó el control de riesgos informáticos con el control de enfermedades, donde la finalidad es prevenir brotes y evitar el contagio a gran escala. Indicó que la comparación es válida debido a la velocidad con que pueden propagarse los virus informáticos.
En su discurso el experto propuso además que la industria del software esté sujeta a procesos más estrictos de rendición de cuentas. Para enfatizar su punto de vista declaró: “los únicos dos productos no cubiertos por responsabilidad legal son la religión y el software, que no debería escapar a este control por mucho más tiempo”. Propuso concretamente que la industria del software esté sujeta a controles de calidad similares a los aplicables al sector bancario.
También se manifestó enérgicamente a favor de mejores prácticas de manejo de metadatos, diciendo que los usuarios deben tener la seguridad absoluta de que su información ha sido eliminada por las empresas. Para ello, reclamó que las organizaciones que recopilan metadatos brinden a los usuarios seguridades y garantías concretas de que los datos fueron eliminados. Indicó que en caso de no existir una garantía escrita, el usuario sencillamente debe suponer que sus datos han sido almacenados permanentemente.
Compartir nota:
