Billy McDiarmid, Product & Engineering Director, Red Sift

¿Por qué son importantes las compañías de calificación de ciber riesgo?

Gartner denomina a esta categoría de productos soluciones de "gestión de riesgos de proveedores de TI". Se trata de productos que son utilizados principalmente por otras organizaciones interesadas en puntuar el riesgo de hacer negocios con su organización, basado en cómo evalúan sus activos de cara a Internet. Las organizaciones interesadas pueden ser su aseguradora o un cliente potencial. A su vez, éstas mismas pueden recurrir a empresas de calificación de ciber riesgo para que evalúen su cadena de suministro.

Dado que puede aumentar el coste de su seguro, reducir el alcance del mismo, repercutir en su capacidad para obtener préstamos o incluso impedir que un cliente trabaje con usted, debe prestar atención al funcionamiento de las empresas de calificación y tomar medidas para mejorar la puntuación o calificación que le otorgan.

Este proceso no solo afecta a los aspectos financieros, sino que también se convierte en un tema clave para la junta directiva, ya que las calificaciones están disponibles públicamente y pueden impactar la reputación de la empresa.

¿Cómo funcionan estos productos de calificación?

Recopilan información pública sobre los activos de una organización, evalúan su postura de seguridad y emiten una calificación en función de sus observaciones.

A pesar de su utilidad, este enfoque tiene limitaciones notables tales como:

• Uso de algoritmos patentados.
• Puntuaciones circunstanciales.
• Los datos a menudo están desfasados y las calificaciones tardan en actualizarse.
• Atribución de activos incorrecta.
• Los informes están diseñados para un público no técnico.
• Una puntuación alta no garantiza que todo esté perfecto.

¿Cómo mejorar tu calificación de seguridad de B a A?

Aunque cada producto usa su propio método, sabemos que buscan mejoras en tres aspectos:

• Reducir errores serios de configuración: Cómo de serio es un error de configuración, es subjetivo, pero lo que sea considerado como serio, tendrá un gran impacto en la puntuación otorgada.  
• Reducir errores de configuración en general: Un mayor número de errores de configuración implica un impacto más significativo en la puntuación asignada. Además, si hay múltiples casos de la misma configuración incorrecta, eso puede amplificar el impacto en la puntuación otorgada.
• Rápida corrección: Cuando se identifica una configuración incorrecta que impacte la puntuación, quieren ver que se solucione rápidamente.

Puede identificar, clasificar y corregir todos los errores de configuración de forma continua y proactiva. Pero es imposible solucionar todos los problemas identificados por las empresas de calificación.

En su lugar, a corto plazo, es crucial establecer las siguientes prioridades:

• Comienza a generar visibilidad de toda tu presencia pública de manera automatizada y constante.
• Una vez que esté a la vista, decide qué partes de tu patrimonio son cruciales para el negocio y cuáles no lo son.
• Identifica las configuraciones incorrectas que más están influyendo en tu puntuación. Por ejemplo, sabemos por nuestra experiencia con otros clientes que problemas relacionados con TLS y certificados, como el uso de protocolos poco robustos, la falta de aplicación de HTTPS y certificados que están por vencer, tienen un impacto significativo en la puntuación otorgada.

Esta tabla muestra los diferentes tipos de configuraciones incorrectas, la gravedad asociada y la mejora estimada en la puntuación si se corrigen antes de la próxima evaluación.

Después, adoptar y mantener las mejores prácticas a largo plazo. Esto implica la integración de verificaciones de políticas de seguridad en tus procesos de desarrollo e implementación. Con el tiempo, estas acciones acumulativas no sólo mejorarán tu puntuación o calificación, sino que también contribuirán a mantenerla en un nivel alto.