Los países exigen una licencia para los profesionales de la ciberseguridad

Malasia se ha sumado a al menos otras dos naciones (Singapur y Ghana) al aprobar leyes que exigen que los profesionales de la ciberseguridad o sus empresas estén certificados y autorizados para proporcionar algunos servicios de ciberseguridad en su país.

El 3 de abril, la cámara alta del Parlamento de Malasia, conocida como Dewan Negara, aprobó el Proyecto de Ley de Seguridad Cibernética 2024, tras su aprobación en la cámara baja el mes anterior. El proyecto de ley, que se convertirá en ley tras su firma por el Rey y su publicación en el Boletín Oficial, está estructurado como legislación general y actuará como marco para futuras actividades gubernamentales que garanticen la infraestructura crítica y mejoren el estado nacional de la ciberseguridad.

Si bien la legislación exige la concesión de licencias, los requisitos reales para los profesionales y proveedores de servicios de ciberseguridad llegarán más tarde, según el bufete de abogados Christopher & Lee Ong, con sede en Malasia. indicado en un aviso.

“Si bien el proyecto de ley no especifica los tipos de servicios de seguridad cibernética que están sujetos al régimen de licencias... esto probablemente se aplicará a los proveedores de servicios que brindan servicios para salvaguardar dispositivos de tecnología de la información y las comunicaciones de otra persona ([por ejemplo,] proveedores de pruebas de penetración). y centros de operaciones de seguridad”, afirmó el despacho de abogados.

Malasia se une a Singapur, vecino de Asia y el Pacífico, que ha requerido la Licencias de proveedores de servicios de ciberseguridad (CSP) durante los últimos dos años, y la nación de Ghana, en África occidental, que requiere la Licencia de CSP y acreditación de profesionales de ciberseguridad.. Más ampliamente, los gobiernos como la unión europea han normalizado certificaciones de ciberseguridad, mientras que otras agencias - como el estado estadounidense de Nueva York — exigir certificación y licencias para capacidades de ciberseguridad en industrias específicas.

Licencia para hackear en Ghana

Si bien muchos gobiernos exigen que las empresas obtengan licencias para ofrecer servicios de ciberseguridad, Ghana es el único país que exige que las personas tengan una licencia, dice Alexey Lukatsky, director gerente de consultoría empresarial de ciberseguridad en Positive Technologies, un proveedor de ciberseguridad con sede en Moscú.

“La singularidad del enfoque de Ghana radica en el hecho de que los requisitos de licencia no se aplican a todos los especialistas en ciberseguridad, sino a aquellos que planean trabajar en cuatro áreas específicas: evaluación de vulnerabilidades y pruebas de penetración, análisis forense digital, servicios gestionados de ciberseguridad, capacitación en ciberseguridad y ciberseguridad. GRC”, afirma.

El gobierno de Singapur ha adoptado un enfoque proactivo para incitar a la industria privada a adoptar estrictas regulaciones de ciberseguridad, y hasta ahora las organizaciones implementando más del 70% de los requisitos necesarios para una certificación “Cyber ​​Essentials”.

“Ciertamente pensamos que tener un estándar mínimo generará más confianza en todo el ecosistema, ya que habrá garantía de que, entre otras cosas, las pruebas de penetración, las auditorías de seguridad y los servicios de respuesta a incidentes que se proporcionarán estén a la par con las expectativas de la industria y las tecnologías en evolución. ”, dice Serene Kan, socia de la práctica de tecnología y propiedad intelectual de Wong & Partners, firma miembro de Baker McKenzie International.

En Estados Unidos, esos esfuerzos no han ganado mucho terreno. En cambio, muchas organizaciones profesionales Ofrecer certificación de conjuntos específicos de habilidades.. ISC2, por ejemplo, administra la reconocida acreditación de Profesional Certificado en Seguridad de Sistemas de Información (CISSP), mientras que CompTIA ofrece la certificación Security+, e ISACA (anteriormente la Asociación de Control y Auditoría de Sistemas de Información) ofrece la certificación de Auditor Certificado de Sistemas de Información (CISA). entre otros.

ISC2 e ISACA declinaron hacer comentarios para este artículo.

Falta de protección a la libertad de expresión

Si bien los requisitos parecen mejorar la madurez general de la postura de ciberseguridad de los países, la legislación a menudo ha planteado preocupaciones sobre el costo potencial para la libertad de expresión y otros derechos individuales.

Los gobiernos que obtienen un amplio poder para regular las actividades relacionadas con la ciberseguridad por defecto tienen poderes para controlar los servicios digitales. Esto a menudo resulta en atacar actividades periodísticas y denunciantes exigiendo “aprobación previa bajo estándares arbitrarios sujetos a cambio o revocación”, según Article 19, una organización de derechos humanos.

El proyecto de ley de ciberseguridad de Malasia, por ejemplo, es “innecesario y defectuoso en su estado actual”, afirmó la organización.

"Aunque se presenta como un instrumento de 'ciberseguridad', el proyecto de ley otorgará al gobierno un control irresponsable de las actividades relacionadas con la informática, así como poderes de búsqueda e incautación casi ilimitados", afirmó la organización. dijo en un análisis del proyecto de ley. "Sus disposiciones penales no requieren ninguna intención real de violar, lo que introduce efectivamente muchos delitos de responsabilidad objetiva".

En particular, los investigadores de ciberseguridad podrían correr peligro, ya que la publicación del código fuente o la investigación ciberofensiva requeriría una licencia, afirmó la organización.

Sin embargo, a menudo los requisitos de licencia simplemente ponen un sello gubernamental a las mejores prácticas de certificación que ya existen y exigen que los solicitantes de empleo tengan certificaciones específicas de ciberseguridad, pero con un toque local, dice Lukatsky de Positive Technologies.

El enfoque que ha seguido Ghana, por ejemplo, “se asemeja al establecimiento de un registro de todos los especialistas en ciberseguridad, ya que es poco probable que en este o cualquier otro país haya muchos especialistas independientes y solitarios que puedan trabajar con organizaciones serias, donde los riesgos de contratar El personal no cualificado es demasiado elevado”, afirma. “La razón principal de tales requisitos es que a medida que crece el número de ataques cibernéticos, se necesitan especialistas que entiendan lo que están haciendo y por qué lo hacen para detectarlos y prevenirlos: cómo aplicar las mejores prácticas internacionales y cómo adaptarlas a las situaciones locales. detalles específicos."

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros