¿Qué son las clasificaciones de seguridad?

A medida que la economía pasa de un entorno físico a uno digital, las empresas deben cambiar las preguntas que hacen al considerar trabajar con proveedores, socios y otros en su cadena de suministro o ecosistema.

Históricamente, las compañías preguntaban: ¿Qué es un buen puntaje de crédito?

Ahora, muchas compañías se preguntan: ¿Cuál es un buen puntaje de seguridad?

Dedicaré este post a explicar qué son las clasificaciones de seguridad, cómo se calculan, cuáles son sus casos de uso y sus beneficios.

¿Qué son las clasificaciones de seguridad?

Las clasificaciones de seguridad o de ciberseguridad son una medición dinámica, objetiva y basada en datos de la postura de seguridad de una organización. Son creados por una plataforma de calificación de seguridad confiable e independiente que los hace valiosos como un indicador objetivo del desempeño de seguridad cibernética de una organización.

Así como las calificaciones crediticias apuntan a proporcionar una medida cuantitativa del riesgo crediticio, las calificaciones de seguridad apuntan a proporcionar una medida cuantitativa del riesgo cibernético.

Cuanto mayor sea la calificación de seguridad, mejor será la postura de seguridad de la organización.

Miles de organizaciones utilizan las clasificaciones de seguridad como una herramienta para comprender y mitigar una variedad de riesgos de seguridad internos y externos críticos e interconectados.

Historia

Las calificaciones de seguridad provienen de las calificaciones crediticias, excepto que son una evaluación del riesgo de seguridad de una empresa, no del riesgo crediticio.

Para comprender el valor de las calificaciones de seguridad, es útil comprender de dónde provienen las calificaciones crediticias, por lo que comenzaremos allí.

Las calificaciones crediticias brindan a los inversores información sobre si el emisor de un bono, instrumento de deuda o garantía de renta fija podrá cumplir con sus obligaciones de deuda.

Generalmente toman la forma de una calificación de letra emitida por una agencia de calificación crediticia que proporciona un análisis independiente y objetivo de la capacidad de una empresa o país para pagar la deuda.

Las calificaciones crediticias nacieron a raíz de la crisis financiera de 1837 con el establecimiento de agencias de crédito mercantil.

Estas agencias calificaron la capacidad de los comerciantes para pagar sus deudas y consolidaron estas calificaciones en guías publicadas. La primera agencia de este tipo fue establecida por Lewis Tappan en 1841 y posteriormente adquirida por Robert Dun, quien publicó una guía de calificaciones en 1859.

Sin embargo, no fue hasta 1909, y el establecimiento de la guía de bonos ferroviarios de John Moody, que las calificaciones crediticias se hicieron ampliamente accesibles.

En los años siguientes, se establecieron los antecedentes de las agencias de calificación crediticia «Tres grandes». A saber, Poor’s Publishing Company en 1916, Standards Statistics Company en 1922 y Fitch Publishing Company en 1924.

El objetivo de estos proveedores de calificación crediticia es eliminar la subjetividad y la evaluación puntual del riesgo crediticio al proporcionar una evaluación independiente, objetiva y cuantitativa de la solvencia crediticia que cualquiera pueda utilizar.

Para la mayoría de las cuentas, las calificaciones crediticias han sido un éxito. Los puntajes de crédito son la medida principal de solvencia en todo el mundo.

Los proveedores de calificaciones de seguridad tienen el mismo objetivo, simplemente reemplazar el riesgo de crédito con el riesgo de ciberseguridad.

Casos de uso comunes

Las clasificaciones de seguridad se utilizan para evaluar la ciberseguridad de organizaciones externas como proveedores, objetivos de inversión o aplicaciones de seguros, así como para evaluar el riesgo interno y mejorar la comunicación sobre el rendimiento de la ciberseguridad.

Gestión de riesgos de terceros

El uso original de las clasificaciones de seguridad era ayudar a los equipos de gestión de riesgos de terceros a gestionar el riesgo de ciberseguridad, que incluye:

  • Comprender el riesgo de terceros que representan las relaciones de la cadena de suministro, el proveedor de terceros y los socios comerciales.
  • La suscripción de seguros cibernéticos, la fijación de precios y la gestión de riesgos al permitir a las aseguradoras obtener visibilidad del programa de seguridad de aquellos a quienes aseguran para evaluar y fijar mejor el precio de sus pólizas de seguro.
  • Inversión o adquisición de una empresa al proporcionar a las organizaciones una evaluación independiente de una inversión o controles de seguridad de la información del objetivo.
  • Permitir que los gobiernos comprendan y administren mejor el desempeño de seguridad cibernética de ellos y de sus proveedores.

Las calificaciones de seguridad se han adoptado ampliamente porque complementan y a veces pueden reemplazar las técnicas de evaluación de riesgos de proveedores que requieren mucho tiempo, como cuestionarios, visitas in situ y pruebas de penetración. Lo más importante es que siempre están actualizados.

Al brindar a los equipos de ciberseguridad la capacidad de identificar instantáneamente problemas de seguridad, pueden comprender en qué proveedores centrarse primero. Esto reduce en gran medida la carga operativa de los equipos de TPRM durante la selección de proveedores, la diligencia debida, la incorporación y la monitorización. Además, se pueden compartir con los proveedores para mejorar los esfuerzos de remediación.

Gestión del rendimiento de ciberseguridad

La seguridad se está convirtiendo en un problema competitivo crítico, junto con los diferenciadores clásicos como el precio y el rendimiento. Cada vez más, las empresas necesitan demostrar prácticas sólidas de ciberseguridad al ganar y retener negocios.

Las clasificaciones de seguridad se utilizan cada vez más para la gestión del rendimiento de la seguridad interna , que incluye:

  • Evaluación continua de la postura de seguridad cibernética interna, proporcionando a los CISO una calificación simple y comprensible que se puede presentar a las partes interesadas clave, incluidos C-Suite y los miembros de la junta.
  • Evaluación comparativa con pares de la industria, competidores, sectores y proveedores. Esto puede ayudar con la toma de decisiones y proporcionar un contexto sobre los controles o mitigaciones de seguridad en los que su organización necesita invertir.
  • Garantizar a los clientes, aseguradores, reguladores y otros interesados ​​que la organización se preocupa por prevenir problemas de seguridad como violaciones de datos, malware y ransomware.

Antes de las clasificaciones de seguridad, el rendimiento de seguridad era difícil de cuantificar. En general, depende de métricas técnicas específicas, como la cantidad de puertos cerrados y los parches de software aplicados.

Hoy en día, los líderes de seguridad y riesgo tienen un indicador clave de desempeño objetivo, independiente y ampliamente adoptado que es fácil de entender para las partes interesadas no técnicas. Esto les permite evaluar continuamente su postura de seguridad, establecer objetivos, seguir el progreso e informar información significativa a otros ejecutivos y a la Junta.

Al sumergirse en los vectores de riesgo individuales que conforman una calificación de seguridad, puede determinar (en tiempo casi real) qué áreas están exponiendo a la organización a la mayor cantidad de riesgo.

Además, las clasificaciones de seguridad son útiles para la evaluación comparativa. Al comparar la calificación de seguridad de la organización con su desempeño anterior, así como con sus competidores, puedes medir con precisión si los esfuerzos de tu equipo están dando resultado o no.

¿Cómo se calculan las calificaciones de seguridad?

Las clasificaciones de seguridad no se basan en técnicas de evaluación de riesgos tradicionales como pruebas de penetración, cuestionarios de seguridad o visitas in situ. Se derivan de información objetiva, verificable externamente y son calculadas por una organización confiable e independiente.

Las calificaciones se generan a través de algoritmos patentados que incorporan y analizan conjuntos de datos comerciales y de código abierto confiables para recopilar datos de manera no intrusiva que puedan evaluar cuantitativamente el riesgo de ciberseguridad.

La calificación de seguridad de una organización puede variar de 0 a 950 y se compone de un promedio ponderado de la calificación de riesgo de todos los activos externos, como aplicaciones web, direcciones IP y sitios de marketing.

Cuanto más baja es la calificación, más severos son los riesgos a los que están expuestos. Inversamente, cuanto mayor sea la calificación, mejores serán sus prácticas de seguridad y los ataques informáticos menos exitosos serán.

La calificación de seguridad de una organización se actualizará varias veces al día, ya que la mayoría de los sitios web se escanean diariamente.

Esto permite una monitorización continua de los proveedores más allá del proceso de evaluación inicial.

Las calificaciones se basan en el análisis de más de 70 vectores que incluyen:

  • Susceptibilidad a los ataques de hombre en el medio
  • Certificados SSL / TLS inseguros
  • Configuraciones SPF, DKIM y DMARC
  • Seguridad de transporte estricta de HTTP (HSTS)
  • Riesgo de suplantación de identidad y phishing
  • Vulnerabilidades
  • Susceptibilidad al malware
  • Seguridad de la red
  • Puertos innecesarios de administración abierta, base de datos, aplicación, correo electrónico y uso compartido de archivos
  • Exposición a violaciones de datos conocidas y fugas de datos
  • Software vulnerable
  • Accesibilidad HTTP
  • Configuración segura de cookies
  • Resultados de cuestionarios inteligentes de seguridad

¿Cómo pueden ayudar las calificaciones de seguridad a identificar, administrar y reducir el riesgo?

Es difícil identificar, gestionar y reducir el riesgo de ciberseguridad. Al igual que muchas organizaciones, es posible que no conozcas el rendimiento de seguridad real de tu organización y tus terceros críticos.

La digitalización ha aumentado la velocidad del comercio, el alcance de los clientes, la comprensión de los hábitos del consumidor y la eficiencia de las operaciones en todos los ámbitos. Pero también ha aumentado la superficie de riesgo del negocio, creando nuevos peligros y obstáculos.

Este riesgo se ve agravado por las interrelaciones de las empresas digitales que manejan tus datos confidenciales y su infraestructura tecnológica, ya que cada tercero es un vector de ataque potencial para tu organización.

Una vulnerabilidad problemática en uno de tus proveedores o socios comerciales podría provocar una violación de datos en tu propia organización. La naturaleza técnica de este riesgo lo hace inaccesible para aquellos sin habilidades y conocimientos avanzados, dejando a las organizaciones sin visibilidad en una parte extremadamente valiosa y crítica de su negocio.

Aquí es donde las clasificaciones de seguridad pueden ayudar. Las clasificaciones de seguridad proporcionan una evaluación continua y actualizada de la potencial superficie de ataque sin la necesidad de tener una gran experiencia técnica.

Proporcionan una medición diaria del rendimiento de seguridad de una organización calculada por un enfoque similar utilizado por las calificaciones crediticias para calcular el riesgo financiero.

Esto te permite monitorizar y comparar el desempeño de seguridad interna con el tiempo, fortalecer tu programa de gestión de riesgos de proveedores y reducir el riesgo.

¿Cómo se pueden usar las clasificaciones de seguridad para la gestión de riesgos del proveedor?

Evaluar la seguridad de cada tercero puede llevar mucho tiempo y estar fuera del alcance de muchas organizaciones que dependen de métodos tradicionales.

Enviar cuestionarios de seguridad basados ​​en Excel para comprender la postura de seguridad de un proveedor requiere mucho seguimiento. Además, estos cuestionarios son subjetivos y muchas veces se vuelven inexactos con el tiempo a medida que surgen nuevos problemas de seguridad.

Otros procesos, como las visitas in situ y las pruebas de penetración, requieren demasiados recursos y tienen un costo prohibitivo para ejecutarse a escala.

Las calificaciones de seguridad complementan estos métodos tradicionales de gestión de riesgos al proporcionar datos continuos, objetivos y procesables.

Esto permite escalar de manera eficiente el programa de gestión de riesgos de terceros sin escalar la plantilla mediante:

  • Automatización del proceso para comprender la postura de seguridad de tu proveedor
  • Comparación de proveedores con tu industria, lo que facilita ver qué proveedores están fallando y representan un riesgo significativo
  • Solicitar remediación de terceros o estableciendo requisitos mínimos de calificación de seguridad en los contratos
  • Calificar automáticamente la seguridad de tus proveedores
  • Usar tu biblioteca de cuestionarios de seguridad para evitar que tu equipo tenga que crear cuestionarios que correspondan con las regulaciones y estándares de la industria.

¿Cómo se pueden usar las clasificaciones de seguridad para monitorear el desempeño de la seguridad interna?

Las clasificaciones de seguridad pueden ayudar a los líderes de seguridad y riesgo a:

  • Comprender el impacto de sus inversiones en controles o tecnología de seguridad cibernética
  • Alinear las inversiones y acciones con aquellas que mitigarán los riesgos más críticos.
  • Asignar de manera eficiente y dinámica sus recursos límite en áreas críticas
  • Facilitar conversaciones basadas en datos y basadas en el riesgo sobre la ciberseguridad con partes interesadas no técnicas clave, como miembros de la Junta, Vicepresidentes, reguladores, inversores y socios comerciales clave.
  • Evaluar comparativamente el rendimiento de seguridad interna frente a los pares de la industria.

¿Por qué son importantes las calificaciones de seguridad?

Las calificaciones de ciberseguridad serán tan importantes como las calificaciones crediticias al evaluar el riesgo de las relaciones comerciales existentes y nuevas. Estos servicios se convertirán en una condición previa para las relaciones comerciales y parte del estándar de debida atención para los proveedores de servicios. Además, los servicios habrán ampliado su alcance para evaluar otras áreas, como el seguro cibernético, la diligencia debida para fusiones y adquisiciones e incluso como una métrica en bruto para los programas de seguridad interna.

La creciente importancia de las calificaciones de seguridad se debe en gran medida a la introducción de leyes generales de protección de datos como el RGPD, así como a los programas de gestión de riesgos de proveedores obligatorios centrados en la industria.

Las calificaciones de seguridad llenan un gran vacío dejado por las técnicas tradicionales de evaluación de riesgos, como las pruebas de penetración o las visitas in situ.

Es por eso que muchas organizaciones han recurrido a las calificaciones de seguridad para evaluarse a sí mismas y a sus terceros.

Los métodos tradicionales de evaluación de terceros requieren mucho tiempo. Enviar cuestionarios a cada tercero para comprender su postura de seguridad requiere mucho seguimiento y no siempre es preciso.

La verdad es que los cuestionarios, al igual que las pruebas de penetración, son evaluaciones subjetivas y puntuales que se vuelven inexactas con el tiempo a medida que surgen nuevos problemas de seguridad.

Las clasificaciones de seguridad complementan estos métodos tradicionales de gestión de riesgos al proporcionar una evaluación continua, objetiva y actualizada de las posturas de seguridad, lo que le permite comprender qué amenazas cibernéticas enfrenta la organización y cómo mitigarlas.

¿Cómo puedo decidir sobre un proveedor de calificaciones de seguridad?

No todos los proveedores de calificaciones de seguridad son igualmente efectivos para determinar el riesgo cibernético. Cada uno tiene sus propios datos, metodología, red y opciones de servicio.

Para tomar una buena decisión, es necesario comprender cómo funcionan las clasificaciones de seguridad. Cuatro consideraciones importantes a tener en cuenta son:

Calidad de los datos

Como hemos discutido, los diferentes proveedores de calificaciones de seguridad tienen acceso a diferentes conjuntos de datos. Los puntos de datos que recopilan deben asignarse con precisión a organizaciones individuales. Además, el algoritmo subyacente que determina la calificación de seguridad variará de proveedor a proveedor.

No se trata solo de la cantidad de datos procesados. Lo que es tan importante es la atribución de esos datos a organizaciones únicas. Otros proveedores pueden tomar muchos datos, pero no tienen los recursos, procesos o conocimientos necesarios para asignar esos datos a organizaciones específicas con precisión.

El objetivo de cualquier plataforma de calificación de seguridad es mantener a tu organización segura y continuamente informada sobre su posible riesgo cibernético. Una calificación precisa o de alta calidad depende de su capacidad para reflejar el verdadero riesgo cibernético, por ejemplo, la posibilidad de un ataque cibernético exitoso o una violación de datos.

Otra señal importante para la calidad de los datos es la duración del historial de calificación. Para evaluar con precisión el rendimiento relativo de ciberseguridad de una organización y sus terceros, se debe poder mirar al pasado.

Tamaño de la comunidad

Las clasificaciones de seguridad se benefician de los efectos de red, se vuelven más valiosos a medida que más usuarios se aprovechan de ellos.

En cualquier plataforma de calificación de seguridad, los usuarios finales pueden verificar los resultados de su propia organización y sus proveedores, así como también señalar posibles errores. Esto significa que cuantos más usuarios haya en la plataforma, mejores serán los datos.

Por esta razón, el tamaño de la base de usuarios de los proveedores de calificaciones de seguridad es un factor importante para determinar la calidad de la calificación.

Experiencia del cliente

Los proveedores de calificaciones de seguridad pueden diferenciarse por la usabilidad de su software, los métodos por los cuales ofrecen calificaciones de seguridad y la calidad de su servicio al cliente.

Si bien las clasificaciones de seguridad son productos de datos, también son productos SaaS. El diseño y la experiencia del usuario de la plataforma pueden afectar el valor que su equipo puede obtener de ella. Es importante probar el front-end de varias plataformas antes de elegir el proveedor de calificaciones de seguridad.

Al elegir un proveedor, es fundamental tener en cuenta su nivel de conocimiento y experiencia.

Conocimiento de violación de datos y detección de fuga de datos

Es importante que los proveedores de calificaciones de seguridad tengan capacidad para detectar credenciales filtradas y datos expuestos antes de que caigan en las manos equivocadas.

¿Qué más necesito saber sobre las clasificaciones de seguridad?

Las calificaciones de seguridad son relativamente nuevas y conllevan sus propios riesgos. Se basan en datos de un entorno dinámico con muchas fuentes.

Los Principios de las calificaciones de seguridad justas y precisas son:

  • Transparencia: debe proporcionarse transparencia total y oportuna no solo a los clientes, sino también a cualquier organización que quiera comprender su postura de seguridad.
  • Disputa, corrección y apelación: cualquier organización que crea que su puntaje no es exacto o no está actualizado puede solicitar una nueva calificación.
  • Precisión y validación: las clasificaciones de seguridad deben estar basadas en datos y en información independientemente verificable y accesible.
  • Modelo de gobierno: si bien los conjuntos de datos y las metodologías utilizadas para calcular las calificaciones de seguridad pueden cambiar para reflejar mejor la comprensión de cómo mitigar el riesgo de ciberseguridad, se facilitará a los clientes un aviso razonable y una explicación sobre cómo puede verse afectada su calificación de seguridad.
  • Independencia: ningún acuerdo comercial o falta de él, le da a una organización la capacidad de mejorar su calificación de seguridad sin mejorar su postura de seguridad.
  • Confidencialidad: Cualquier información divulgada durante el curso de una calificación o disputa impugnada está debidamente protegida. No se facilitará a terceros información confidencial sobre organizaciones calificadas que podrían conducir a un compromiso del sistema.