Five Eyes: Cómo proteger una startup contra ciberataques y espionaje

La alianza Five Eyes, que incluye a Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, presentó una nueva iniciativa para mejorar la ciberseguridad de startups tecnológicas. Los países, conocidos por su estrecha coordinación en inteligencia, buscan proteger a las empresas innovadoras de amenazas relacionadas con el robo de propiedad intelectual y otros riesgos cibernéticos.

En la cumbre de octubre de 2023, los miembros de la coalición identificaron los principales riesgos vinculados con la actividad de hackers chinos y desarrollaron 5 principios básicos para la protección de las empresas. Las recomendaciones buscan aumentar la conciencia de las startups sobre las amenazas cibernéticas y proporcionar medidas concretas para prevenirlas.

Principios básicos de ciberseguridad

1. Comprensión de las amenazas. Es fundamental identificar las vulnerabilidades que podrían poner en riesgo los desarrollos y el negocio.
2. Protección de los procesos empresariales. Es necesario asignar la responsabilidad de gestionar los riesgos cibernéticos a un responsable de seguridad a nivel de junta directiva.
3. Integración de la seguridad en los productos. Se recomienda implementar medidas de protección desde la fase de diseño para minimizar las vulnerabilidades y proteger la propiedad intelectual.
4. Evaluación de socios. Al colaborar con terceros, es importante asegurarse de su fiabilidad y de su capacidad para garantizar la seguridad de los datos transmitidos.
5. Consideración de riesgos en el crecimiento. Las startups deben tener en cuenta las amenazas al expandir sus equipos y entrar en nuevos mercados.

Un año después, los países miembros de la coalición presentaron nuevos materiales que explican cómo las startups pueden aplicar estos principios en la práctica. Los documentos varían en formato y contenido según el enfoque de cada país.

Reino Unido publicó una infografía , mientras que Canadá preparó una guía para inversores tecnológicos. Nueva Zelanda desarrolló un manual con instrucciones paso a paso para responder a incidentes. Estados Unidos presentó cinco documentos, uno de los cuales ofrece recomendaciones para la protección de datos durante viajes internacionales. Entre las medidas sugeridas están el borrado remoto de información, el uso de cifrado y el traslado de datos mínimos necesarios. Australia publicó un documento titulado Secure Innovation Placemat.

La variedad de documentos refleja que cada país eligió su propio formato de trabajo, pero todos los materiales comparten un objetivo común: proporcionar recomendaciones coordinadas que tengan en cuenta la naturaleza global de las startups y las amenazas cibernéticas.

A pesar de los esfuerzos de la coalición, los expertos advierten que la ciberseguridad a menudo se pasa por alto en el contexto del rápido crecimiento empresarial. La cultura de "actuar rápido y romper cosas", popular en el entorno de startups, puede dificultar la implementación de las recomendaciones. Los ejemplos de problemas de seguridad en empresas como Uber, Lyft, GitLab y OpenAI demuestran que las listas de verificación e instrucciones por sí solas no son suficientes para evitar incidentes complejos.