Doing business in Spain? Interempresas Media is the key
Tribuna de opinión

Security Ratings, poniendo nota a la ciberseguridad de una empresa

Juanjo Galán, Business Strategy de All4Sec

08/03/2022
Nunca ha sido sencillo expresar el riesgo de ciberseguridad de una compañía. Cuando a los profesionales se nos consulta por el nivel de seguridad de una organización solemos responder: “hasta donde sabemos…” para, a continuación, completarlo con una combinación de letras y números tomados de algún estándar de referencia —o más coloquialmente con un “débil”, “aceptable”, “bueno”, etc. En cierto modo y siendo críticos, no deja de ser paradójico que cuando hablamos de seguridad no tengamos certeza objetiva de las valoraciones que hacemos.

Confidencialidad, Integridad y Disponibilidad

Al igual que en el entorno financiero se cuantifica el riesgo crediticio de un cliente, también en ciberseguridad se ha empezado a cuantificar el ciber-riesgo de una organización.

Cuando hablamos de ciberseguridad debemos tener en cuenta que existen tres características fundamentales: confidencialidad, integridad y disponibilidad. Se trata de propiedades que configuran el grado de fiabilidad —en su más amplio sentido— de los sistemas, datos, estructuras organizacionales, socios o empleados de una compañía.

Desde hace muchos años, organismos como ISO, NIST CSF o incluso MITRE CTSA se esfuerzan por definir un marco uniforme y aceptado para el cumplimiento de las tres características mencionadas. Existe un amplio conjunto de esquemas de certificación para productos, sistemas, soluciones, servicios y organizaciones. Sin embargo, no existe una solución unificada o combinada de todos ellos. En estas circunstancias resulta difícil entender lo que se requiere para llegar a expresar de forma objetiva un nivel de seguridad.

foto

El esfuerzo más reciente se puede ver en DORA (Digital Operational Resilience Act o borrador de Reglamento de resiliencia digital operativa). De aprobarse, llevaría al establecimiento de un marco único europeo de obligaciones, principios y requerimientos respecto a ciberseguridad para el sector financiero, un sector considerado como de los más importantes a la hora de garantizar su seguridad. Se trata de una norma que de aprobarse, se convertiría en la sucesora de La Directiva NIS.

Los organismos de estandarización definen controles, procesos o procedimientos en dominios que evalúan la seguridad de los sistemas de información de una compañía. Estos dominios afectan a los programas de gestión de la seguridad de la información, la seguridad de las instalaciones, la gestión de terceras partes, el cumplimiento normativo, los controles de red, el control de acceso, la gestión de incidentes, el cifrado de la información, el desarrollo seguro de software, la monitorización de sistemas, la protección frente a malwares, la resiliencia, los modelos de operación de los sistemas o la seguridad del personal. En su conjunto aglutinan más de un centenar de controles cuyo cumplimiento atestigua la adecuación de una organización a los estándares de calidad definidos y encargados de reducir los riesgos de ciberseguridad.

Perspectiva desde el exterior

Sin embargo, esa adecuación no es suficiente por sí sola. Los evaluadores de su cumplimiento, en muchas ocasiones, deben recurrir a valoraciones que obtienen fuera del marco de control del cliente: evidencias de ciberataques, identificación de configuraciones erróneas de sistemas, fugas de información no detectadas, comportamientos inadecuados de usuarios o posibles impactos de eventos de ciberseguridad de terceras partes, como proveedores o socios. Todos son datos, recopilados por medios ajenos a la organización —en forma de búsquedas activas o técnicas de hacking— que son parte de lo que se define como su valoración externa.

El galimatías de los ratings

Esta valoración externa suele recurrir a clasificaciones basadas en niveles. Sin embargo, no lo hace de forma estandarizada y unificada. Algunos utilizan datos numéricos, otros indicadores alfabéticos… Todo un galimatías que poco ayudan cuando se pretende establecer comparativas. Ahora bien, ¿por qué no existe un criterio uniforme entre todos los evaluadores para poder comparar adecuadamente los valores? La respuesta parece encontrarse en el mercado.

foto

Empresas de ciber-ratings

Las metodologías para realizar los ratings de ciberseguridad suelen formar parte de la propiedad intelectual de las compañías que los proporcionan. Estas tienden a utilizar complejos modelos matemáticos y de Inteligencia Artificial que prefieren no divulgar para proteger —y ampliar— su cuota de clientes.

Los inversores han descubierto en ellos una oportunidad real de negocio. Puesto en palabras de los analistas de Gartner, “en los próximos años, los ratings de ciberseguridad serán tan importantes para las empresas como las valoraciones de sus riesgos financieros”.

De hecho, compañías como BitSight, UpGuard o Security Scorecard son ya reconocidas en el mercado. Pero no son las únicas. En Europa existen algunas iniciativas como la de la francesa Cyrating, o incluso la española LEET Security, que están abriéndose un hueco. Todas disponen de metodologías y algoritmos de cálculo propios que emplean para ponderar diferentes elementos de evaluación.

El mayor problema al que se enfrentan estos proveedores es que a menudo solo analizan la parte más superficial de la ciberseguridad del cliente, lo que lleva a conclusiones que resultan parciales respecto al estado de su seguridad. Por eso, cada vez más, algunos bogan por combinar métodos que tengan en consideración otros aspectos más profundos dentro de la estructura y organización de la empresa evaluada.

Estandarización de ratings

Llegados a este punto, la pregunta que nos surge es ¿qué deberíamos hacer para conseguir estandarizar los ratings de ciberseguridad a nivel global? Más aún, ¿cómo podríamos definir objetivamente esos ratings sin asumir la subjetivación de su valor?

Múltiples instituciones como el ENISA o la USCC llevan tiempo plantándose estas cuestiones mientras tratan de definir los principios básicos que han de guiar la definición de un modelo unificado de valoración. Entre esos principios está por supuesto la transparencia de las compañías encargadas de las valoraciones; en particular, en los modelos de cálculo que emplean y en los datos que recopilan. También está la capacidad de la organización evaluada de disentir, comentar y corregir las valoraciones antes de su publicación. Y por supuesto, en el cumplimiento de las normativas vigentes.

A este respecto, en Europa se vienen desarrollando nuevos reglamentos que de una forma o de otra conducen a objetivar el nivel de ciberseguridad de compañías e instituciones. Leyes y normativas como GDPR, NIS, NIS-2, DORA, etc. inciden es ese aspecto como elemento de referencia. Quizás basándose en esta línea, recientemente, el Centro de Cooperación Interbancaria lanzaba en España su iniciativa Pinakes cuyo objetivo no es otro que uniformizar esos ratings de ciberseguridad dentro del mercado financiero. Es de prever que este modelo se extienda a otros sectores y que los ratings de ciberseguridad pasen a responder a indicadores propios de cada mercado.

Un deseo final

Por el momento, estamos ante una línea atractiva de desarrollo futuro. Gartner la cataloga entre las 10 más relevantes para el año 2021, y posiblemente así sea. Todo dependerá del interés que despierte en los CISO, CFO y CEO de las empresas receptoras del servicio.

Solo nos queda pedir que, si el mercado se consolida, las compañías que realicen esos ratings no acaben por tener excesivo poder. Que no les ocurra como en 2010 durante la crisis financiera, cuando sus empresas de ratings, llegado el momento de responder de sus valoraciones, simplemente miraron para otro lado.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos