11 minute read
SecurityScorecard
¿Qué son los security ratings?
La edad, la altura, el peso y la presión arterial son índices que controlamos de forma rutinaria para cuidar nuestra salud. ¿Por qué? Porque queremos estar seguros de que, a medida que pasa el tiempo, los indicadores de nuestra salud están estables, o si están cambiando, que están cambiando de forma positiva.
TEXTO: SecurityScorecArd
La gestión de la salud de la ciberseguridad de una empresa no es diferente. Al igual que medimos nuestra altura, peso, edad, etc., también necesitamos tener una referencia de la salud de nuestra ciberseguridad. Ahí es donde entran en juego las calificaciones de seguridad. Las calificaciones de seguridad brindan a las empresas una comparativa que nos permite establecer niveles para medir y administrar continuamente nuestra exposición al riesgo cibernético.
risk rating: ¿Qué es una calificación de seguridad?
Las calificaciones de seguridad evalúan su nivel de seguridad de acuerdo a la eficacia con que protege la información. En un mundo digital, los datos y la protección de dichos datos por parte de la empresa, son análogos a sus ingresos y la protección de sus activos financieros.
Las agencias de informes crediticios del consumidor revisan las finanzas de una empresa y asignan un puntaje crediticio evaluando si la empresa puede proteger sus activos financieros y así evitar endeudarse. De manera similar, una plataforma de calificaciones de seguridad revisa la postura de seguridad de una empresa y le asigna una puntuación al evaluar si la empresa puede proteger sus activos de datos de ataques.
La gestión del riesgo cibernético es un viaje:
Su puntuación de seguridad es un punto de partida en su viaje de ciberseguridad. Incluso si su calificación es baja, digamos, una D, o entre 60 y 70 puntos, su calificación nunca debería ser una fuente de vergüenza. En cambio, es el primer paso en un viaje de mejora. Las calificaciones de ciberriesgo le permiten identificar fácilmente dónde necesita enfocar su atención y construir rápidamente un plan para mejorarlo.
Introducción a las clasificaciones de seguridad
Con una plataforma como la de SecurityScorecard, puede obtener la calificación de seguridad de nivel superior de su organización. La calificación le
brinda visibilidad del nivel de riesgo de su empresa, información procesable y, a partir de ahí, puede elaborar un plan para remediar los riesgos.
Su calificación de seguridad desglosa su postura de seguridad para que pueda ver exactamente dónde deben centrar la atención sus equipos; tal vez la seguridad de los endpoints sea demasiado floja o los parches no se prioricen o no se apliquen con la suficiente rapidez. Luego, puede crear fácilmente un plan. Conocer los puntos débiles de su empresa puede resultar intimidante, pero existen buenas razones para comenzar su viaje de ciberseguridad con una puntuación de seguridad de referencia.
Por un lado, las empresas que gestionan activamente su Scorecard Rating ven, en promedio, una mejora de 8 puntos en los primeros tres meses. Una calificación de seguridad mejorada significa una higiene de seguridad general mejorada y una menor probabilidad de un ataque. Las empresas con una calificación de Scorecard de F (menos de 60) tienen 7,7 veces más probabilidades de sufrir un ataque
que las empresas con una calificación
de A (90-100). Por lo tanto, incluso si comienza con una calificación baja, aumentar su puntuación hará que su empresa sea más segura.
Conocer su Scorecard le brinda una forma reconocida a nivel mundial y de gran reputación de mostrar a los clientes que se toma en serio la ciberseguridad. Es una garantía de que sus datos están protegidos en manos de su organización.
Su Scorecard también abre puertas para mejorar los gastos de su empresa; considere las tarifas del seguro cibernético y cómo las acciones que tome para mejorar su Scorecard podrían afectar su estado de riesgo asignado.
Finalmente, ¿Qué riesgos pueden venir de la mano de sus propios proveedores? Con la información que proporciona su Scorecard, existe una mayor
oportunidad de reducir el riesgo al dirigir la atención a sus provee-
dores. La gestión de riesgos de terceros permite ver de qué forma los socios de la cadena de suministro valoran la protección de sus datos y si alguna debilidad que tengan podría representar una amenaza para sus operaciones.
El arte de la seguridad
A Sun-Tzu se le atribuye la enseñanza de que conocerse a uno mismo es una garantía del 50% de éxito en el campo de batalla. Si bien el contexto era conocer las fortalezas y debilidades de la estrategia militar, la metáfora definitivamente se extiende a la ciberseguridad.
Su organización podría estar bajo ataque en cualquier momento, y su Scorecard le dice lo que ve un observador externo (léase: Hacker) cuando observa su organización y sus defensas. Saber esto le permite evaluar la capacidad de su organización para defenderse de estas amenazas.
Aleksandr Yampolskiy y Sam Kassoumeh
la historia de los fundadores de securityscorecard
Las empresas gastan millones en la lucha contra los ciberataques, pero muchas de ellas siguen siendo víctimas. ¿La razón? No monitorean continua-
mente sus sistemas para detectar
vulnerabilidades, sino que confían en análisis puntuales que se quedan obsoletos enseguida en la era digital. Fue esta situación la que llevó a Aleksandr Yampolskiy y Sam Kassoumeh a lanzar SecurityScorecard, una plataforma que muestra una visión externa de las amenazas a la seguridad y proporciona calificaciones de seguridad diarias similares a una calificación crediticia.
La pareja se conoció mientras trabajaba en la empresa de comercio electrónico Gilt Groupe, donde se dieron cuenta de que compartían una visión para un mejor enfoque de la ciberseguridad. También reconocieron que en sus funciones corporativas, la negligencia de otros podría costarles sus puestos de trabajo.
“Teníamos varias herramientas a nuestra disposición para ayudarnos a hacer nuestro trabajo, sin embargo, nuestro equipo de marketing firmaba contratos con proveedores de los que no creíamos que tuviéramos suficiente visibilidad”, dice Yampolskiy. “¿Cómo podríamos entender el riesgo de trabajar con ellos y con nuestros datos si no teníamos forma de medir su nivel de seguridad desde fuera?”
Comenzaron a buscar una forma de
calcular un puntaje de seguridad y tener una comprensión holística del
riesgo cibernético, similar a cómo los puntajes crediticios ayudan a las instituciones financieras a comprender el riesgo de las personas.
Kassoumeh pensó: “¿Qué pasaría si pudiéramos diseñar una forma de proporcionar a las empresas una visión profunda de la postura de seguridad de otras empresas que fuera instantánea, precisa y verificable de forma independiente sin tener que pedir permiso o esperar semanas para obtener respuestas a importantes preguntas de seguridad? En lo que fue realmente un momento de inspiración, ambos creímos que había formas no intrusivas de medir la salud de la seguridad de una empresa”.
Ocho años después, esa visión es una realidad y la plataforma de SecurityScorecard se ha convertido en una referencia del mercado de Security Ratings. .
Charlamos con Ramón Serres Soler, experto en ciberseguridad y CISO & IT Manager de Almirall, sobre las nuevas tecnologías en ciberseguridad.
TEXTO: AinA Pou rodríguez
CyberSecurity News (CSN): ¿Podría, brevemente, contarnos cuál ha sido su trayectoria hasta llegar a ser CISO de Almirall?
Ramon Serres (RS): Mi posición como responsable de Seguridad de la Información en ALMIRALL llega después de una larga trayectoria tanto dentro de ALMIRALL, como en etapas anteriores, principalmente como consultor en Price Waterhouse Coopers, y como IT Manager en un centro de Desarrollo de Henkel, sector gran consumo.
CSN: ¿Por qué decidió meterse en el sector de la ciberseguridad?
RS: En el momento en que ALMIRALL me ofreció esta posición, había una clara oportunidad de acercar la función al negocio, darle un claro enfoque a
la gestión de riesgos, y establecer un sólido vínculo entre Seguridad de la Información y la Dirección de la
compañía. Los retos que ello planteaba a nivel de Comunicación, Gestión y Liderazgo eran ámbitos en los que pensé que yo podía dar el valor que esperaba ALMIRALL.
CSN: ¿Cuáles diría usted que son las necesidades básicas en ciberseguridad en el sector biofarmacéutico?
RS: Hay ciertos escenarios de riesgo que no son tan diferenciales de un sector a otro. Ejemplos de ello son la
interrupción de operaciones como consecuencia de un ransomware.
Este tipo de situaciones pueden tener un impacto económico evidente en ventas, en falta de productividad, reputacional incluso, o regulatorio si se llega a incumplir alguna obligación de abastecimiento. En ese sentido hay que desarrollar todos los ámbitos desde la concienciación del personal, la protección de las infraestructuras de IT con estándares y buenas prácticas, la planificación en la respuesta ante incidentes, y la capacidad de recuperación.
Otro escenario ya común a todos los sectores debido al marco normativo es el de la protección de datos personales. Ya antes de GDPR era una obligación regulatoria relevante, pero a raíz de la entrada en vigor de la GDPR se han tenido que fortalecer ciertos controles internos y dotar a las estructuras de control de más recursos.
Aparte de estos dos escenarios de riesgo más generales, sí podemos mencionar otros más específicos de nuestro sector, como son el riesgo de fuga de información, particularmente en lo que concierne a información sensible de Investigación y el Desarrollo, o escenarios que afectan a equipamiento y sistemas de control industrial, cuya manipulación indebida podría conllevar riesgos físicos en las personas, y por lo tanto, deben ser tratados como críticos.
CSN: ¿Cree que las nuevas tecnologías en ciberseguridad reciben la importancia que realmente tienen?
RS: La tecnología es importante y, obviamente, juega un papel fundamental en la gestión de la ciberseguridad. Sin embargo, la tecnología no lo es todo, y un Programa de Seguridad excesivamente orientado a la tecnología adolecerá de ciertas debilidades que sólo llegaremos a cubrir si balanceamos el foco en tecnología; con un foco en la Gestión de Personas (concienciación, formación, motivación por la Seguridad, etc), y en la organización y procesos, dado que en muchas ocasiones, a pesar de tener una tecnología adecuada, la operación de dicha tecnología no es efectiva debido a carencias en la definición de responsabilidades, o en los procedimientos asociados a su operación.
CSN: ¿Cuál es el nivel de investigación en tecnologías de ciberseguridad que se requiere para el despliegue de una red de trabajo más segura?
RS: En mi opinión, cada compañía debe determinar qué tecnologías son las que le encajan mejor en cada momento, lo cual es una decisión a tomar en función de multitud de variables: su infraestructura actual de IT y su estrategia de IT, su mapa de riesgos y cómo
dicha tecnología pretende mitigar
riesgos relevantes, su contexto, posibilidades económicas y, por encima de todo, sentido común para realmente apostar por tecnologías que tengan sentido en su contexto, que no necesariamente son las mejores del mercado o las que, según evaluaciones de terceros, son las mejor posicionadas.
CSN: El objetivo principal de un proyecto de seguridad cibernética es conseguir un mayor grado de seguridad, pero para conseguirlo las compañías deben investigar y desarrollar nuevos conocimientos en el campo de la ciberseguridad. ¿Están las empresas invirtiendo el tiempo y la financiación necesaria para ello? Ramón Serres Soler
RS: Desde un punto de vista más académico, el objetivo de los proyectos de seguridad es el despliegue de soluciones (tecnológicas y también de organización y procesos) para mitigar riesgos y obtener un nivel aceptable de riesgo.
Dicho esto, aunque no se puede responder generalizando, sí pienso que a medida que las empresas van sufriendo ataques reales, o van conociendo ataques a compañías cercanas, aunque no necesariamente de grandes corporaciones, van tomando entonces decisiones de inversión en Seguridad, creando equipos con conocimiento y habilidades, y trazando planes concretos para reconducir su mapa de riesgos.
CSN: ¿Cuáles son las tecnologías en materia de ciberseguridad que se prevén de cara a finales de este año? RS: Creo que la aplicación de la inteligencia artificial a los sistemas que los Centros de Operaciones de Seguridad (SOC) utilizan para la correlación de alertas y priorización, acabará teniendo un retorno claro para llegar a reducir los llamados “falsos positivos” y ser capaces de detectar rápidamente aquellas alertas que realmente representan una amenaza para la compañía.
CSN: ¿Qué fundamentos requiere la investigación y la innovación en nuevas tecnologías para la seguridad cibernética?
RS: El sentido común. Es decir, buscar soluciones a los problemas y no al revés: buscarle un problema a una solución. Es fundamental que la investigación y la innovación estén orientadas a resolver aquellas situaciones que a
las compañías nos resultan un riesgo.
De lo contrario, uno puede acabar viendo tecnologías con escasa utilidad y que, por lo tanto, no tengan un valor claro en la mitigación de riesgos.
CSN: Es un hecho que la digitalización acelera la exposición a ciberriesgos, ¿cómo ha afectado la pandemia de la Covid-19 en el sector biofarmacéutico?
RS: Cuando en 2020 entramos en fase de confinamiento y el trabajo en remoto se tuvo que implementar de la noche a la mañana y de manera masiva para todas las organizaciones, fue cuando las compañías que no estaban preparadas, sufrieron un cambio más drástico en su perfil de riesgo.
No fue el caso de ALMIRALL, dado que nuestra infraestructura de IT ya estaba preparada para el trabajo en remoto. Lo que sí es cierto es que ese nuevo contexto desencadenó acciones de concienciación a todo nuestro personal, y una monitorización más activa de ciertos indicadores de riesgo.
CSN: Por último, como en ciberseguridad, ¿cuáles cree que son los consejos que todos debemos seguir para obtener un buen nivel de ciberseguridad?
RS: A nivel personal, hay que mantener siempre un nivel de alerta alto. Debemos estar concienciados y prestar atención a los muchos consejos que vamos recibiendo por parte de nuestras compañías, de entidades públicas y de otras organizaciones. Hay muchos riesgos asociados a las oportunidades del mundo digital, pero sobre todo, el riesgo de suplantación de identidad es clave, con lo cual hay que tomar todas las precauciones posibles para asegurar que estamos tratando con quien creemos estar tratando, esto es, verificar la identidad correctamente, y tomar precauciones para que nuestra identidad tampoco sea suplantada. .
