Sudhakar Ramakrishna, director ejecutivo de SolarWinds, aprovechó una aparición en un panel en la Conferencia anual de RSA en San Francisco, California, para pedir una mayor cooperación y colaboración entre el gobierno y la industria en el intercambio de inteligencia de seguridad cibernética, y se ofreció a integrar personal en el gobierno de EE. UU. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el organismo estadounidense equivalente al Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
En una aparición junto a la directora de CISA, Jen Easterly, y al fundador de Mandiant, Kevin Mandia, quien como ex director ejecutivo de FireEye, ahora separado, estuvo íntimamente involucrado en descubrir el ataque de SolarWinds, Ramakrishna propuso que las compañías de software apoyen el trabajo de CISA de manera más activa dedicando empleados a la agencia.
“La única forma en que nuestra industria podrá responder de manera efectiva al panorama de amenazas en evolución es a través de una verdadera asociación entre los sectores público y privado”, dijo Ramakrishna.
“Hoy, hacemos un llamado a toda la industria del software para que se una a nosotros en este esfuerzo y alentamos a todas las empresas de software o tecnología en los EE. intercambio.
“SolarWinds se ha comprometido y espero que otras empresas se unan a nosotros en este esfuerzo”.
Esta no es la primera vez que Ramakrishna pide una mayor colaboración entre la industria y con los organismos del sector público y las agencias de seguridad en estos temas.
Hablando en 2021 en el evento virtual CyberUK del NCSC, planteó la idea de formar un consorcio de empresas para tomar medidas colectivas para defenderse de los grupos de amenazas persistentes avanzadas (APT) de los estados-nación, como Cozy Bear de Rusia y otros.
Propuso un modelo de responsabilidad mutua y rendición de cuentas en la industria y dijo que el tamaño por sí solo no era un indicador de la capacidad de una empresa para defenderse adecuadamente de un ataque cibernético, como lo demostró el propio ejemplo de SolarWinds.
Ramakrishna continuó diciendo que dicho grupo podría maximizar el intercambio de información cibernética y la colaboración para construir un modelo de protección colectiva que beneficie a todos.
“Si todos nos comprometemos a compartir esa información con el sector público y el sector público, a su vez, proporciona recomendaciones específicas y continúa mejorando esas recomendaciones y encuentra una manera no solo de generar responsabilidad, sino también de proporcionar regulación para ayudar a hacerla cumplir, ” él dijo. “Entonces todos podemos llegar a un nivel de estandarización que hasta ahora ha sido muy ad hoc”.
Desde los devastadores ataques cibernéticos orquestados por Rusia en 2019, que explotaron una actualización contaminada de la plataforma Orion de SolarWinds para comprometer a los clientes intermedios clave, incluidas las agencias gubernamentales de EE. UU., Ramakrishna ha recibido elogios de toda la industria por su compromiso con la transparencia a raíz de la ataque.
En declaraciones a Computer Weekly en septiembre de 2021, Ramakrishna dijo que creía que la honestidad era un elemento clave de la respuesta de una organización de TI a cualquier problema, no solo relacionado con la seguridad cibernética, que afecta materialmente a un cliente.
“Hablamos de generar confianza con los clientes, ganar su confianza, etcétera”, dijo. “Pero me gusta pensar que la forma en que te ganas la confianza es siendo transparente con ellos, qué funciona, qué no, qué estás haciendo al respecto, etc.
“Si tengo que confiar en ti, entonces tengo que creer que estás siendo transparente conmigo sobre el estado de las cosas, por lo que eso fue fundamental para quiénes somos, quién soy y cómo opero”.
