Security Ratings: Una visión inicial del estado de seguridad de las compañías
Tabla de contenidos
Los security ratings se emplean para llevar a cabo un análisis externo de la configuración de seguridad de la infraestructura expuesta a internet de una empresa
Aunque a veces una puntuación no refleje con precisión los conocimientos, el esfuerzo o la valía de un alumno, el sistema educativo se sustenta sobre las calificaciones. Obtener en un examen una A+ en Estados Unidos o un 9,5 en España supone lograr un sobresaliente. Aunque a priori podamos pensar que la educación y la ciberseguridad son sectores distanciados, lo cierto es que la ciberseguridad es un ámbito en el que jamás se deja de aprender y donde la formación continua es absolutamente esencial.
Por ello, no debe sorprendernos que las calificaciones se hayan trasladado al terreno de la ciberseguridad a través de los security ratings.
Estos índices sirven para evaluar el estado de seguridad de una compañía y representar dicho análisis en forma de puntuación. Cuanto más elevada sea la calificación obtenida en los security ratings, la empresa contará con unos sistemas de seguridad más sólidos frente a los ciberataques. En cambio, si la puntuación es baja, los security ratings visibilizarán que la compañía debe destinar recursos para subsanar las deficiencias de seguridad.
En este artículo vamos a arrojar luz sobre los security ratings, analizar sus limitaciones y destacar cuál es su utilidad a la hora de evaluar el estado de seguridad de una compañía o de sus proveedores IT.
1. ¿Qué son los security ratings?
Comencemos la casa por los cimientos. ¿Qué son exactamente los security ratings? Son índices que se elaboran a partir de pruebas automatizadas sobre la superficie de ataque de una empresa. Es decir, aquellos activos que están expuestos a las ciberdelincuentes como las webs o las aplicaciones.
Para realizar los security ratings se testean aspectos básicos de la seguridad de la infraestructura tecnológica, como la seguridad de las aplicaciones o su vulnerabilidad ante ataques de ingeniería social.
De esta manera, los security ratings sirven para representar de forma gráfica, sintética y visual cómo es la salud de los sistemas de seguridad de una organización. Ya sea la compañía que ha contratado el servicio o los proveedores IT con los que trabaja o con los que está meditando entablar una relación comercial.
Al establecer calificaciones, resulta más sencillo comprender qué aspectos se deben mejorar. Lo que facilita la toma de decisiones para reforzar las medidas y controles de seguridad y, así, proteger a los activos empresariales frente a los potenciales ciberataques.
¿Cómo son estas puntuaciones? Los security ratings de BitSight, por ejemplo, presentan una apariencia similar a la del score o calificación crediticia de una empresa. Mientras que Security Scorecard y UpGuard muestran sus calificaciones empleando el sistema de notas de la educación estadounidense. F es un suspenso rotundo y A es un sobresaliente.
2. Testeo básico de la infraestructura que una compañía expone a internet
La clave de los security ratings radica en que no se basan en un análisis exhaustivo de los sistemas de seguridad de una empresa. Sino que se cimentan sobre test y pruebas básicas ejecutadas sobre la infraestructura que dicha compañía expone a internet.
Como señala Manuel Santamaría, CIO de Tarlogic Security, las empresas que prestan los servicios de security ratings llevan a cabo «unos test básicos, pero, en la mayor parte de los casos, acertados».
Lo que se obtiene es una visión básica y externa del estado de seguridad de la compañía analizada. Muy lejana, por ejemplo, de la panorámica amplia que dibujan los servicios de pentesting que se ejecutan sobre la totalidad del sistema de seguridad de una empresa.
De ahí que los security ratings no tengan en consideración de los mecanismos y protocolos internos. Ni cuestiones capitales como, por ejemplo, la gestión de los usuarios de la red (acceso, permisos, eliminación de credenciales de trabajadores que se han ido de la empresa…) o la formación en ciberseguridad que se imparte a todos los miembros de la organización.
2.1. ¿Una nota alta implica que una web o una app es segura?
Si se evalúa la web de una compañía y la nota obtenida en los security ratings es alta, no significa que la web sea segura. Esta puntuación indica que la configuración del servidor es adecuada, tras haber verificado cuestiones como la configuración TLS o el protocolo DNS.
Así, el testeo no entra a analizar la lógica de la web, sino que se queda en una capa más superficial. Por lo que obtener una calificación de A+ no implica que una página web o una aplicación móvil estén completamente fortificadas y sea imposible que los delincuentes las ataquen.
Habida cuenta de lo que venimos de señalar, podemos observar que los security ratings no permiten realizar una evaluación global de seguridad de una empresa, sino que son una solución útil para analizar su configuración básica de seguridad.
3. Proteger la reputación de una empresa
La web o las aplicaciones de una empresa son, a menudo, su carta de presentación ante miles de clientes. En el caso de compañías que cuentan con marketplaces, estos son, además, un canal de venta y, por lo tanto, absolutamente críticos para su modelo de negocio.
Por ello, es fundamental que estén configurados de manera idónea. En este sentido, los security ratings sirven para evaluar la configuración básica y corregir problemas de seguridad graves, que se pueden apreciar en un primer nivel y, por lo tanto, pueden ser explotados con facilidad por los delincuentes.
De lo contrario, la empresa puede ver deteriorada su reputación. Y, si sufre un ciberataque exitoso, las repercusiones económicas y legales pueden tener un impacto dramático en la propia viabilidad del negocio.
Así, los security ratings operan como un indicador superficial del nivel de seguridad de una empresa. Si la nota obtenida es baja, nos encontraríamos ante una compañía con un elevado nivel de exposición ante los ciberataques, lo que le resta legitimidad en el mercado.
Por otra parte, si las defensas exteriores son deficientes, es presumible que los mecanismos internos y los controles de seguridad de la empresa no serán, tampoco, sólidos y eficaces.
Si nos ponemos metafóricos, podríamos decir que los security ratings nos muestran si una casa está bien pintada, ofreciendo la mejor imagen posible. Así que, si la casa está mal pintada, es predecible que su interior esté aún más descuidado. O, remitiéndonos al refranero popular, lo más probable es que la casa esté sin barrer.
4. ¿Quién emplea los security ratings?
¿Pueden recurrir a los servicios de security ratings las empresas pequeñas y medianas que carecen de recursos para contratar servicios de ciberseguridad avanzados?
A priori, este tipo de compañías podría emplear los security ratings para comprobar que su infraestructura tecnológica expuesta a internet cuenta con la configuración básica de seguridad. Lo que no implica, recordemos, que dicha infraestructura IT esté plenamente securizada frente a los riesgos y amenazas.
Sin embargo, el coste anual de los servicios de security ratings puede superar los 20.000 $. Lo que nos permite observar que los security ratings no están pensados para que las pequeñas y medianas empresas puedan testear de manera básica su estado de seguridad o el de sus proveedores IT.
Tampoco se trata de soluciones que usen empresas de ciberseguridad como Tarlogic, puesto que las pruebas en las que se basan carecen de la profundidad necesaria para evaluar de manera integral la seguridad de una empresa.
Más bien, los security ratings son herramientas empleadas por las grandes compañías, que recurren a ellos para acometer una evaluación de seguridad inicial de los proveedores IT con los que trabajan o de aquellas empresas con las que contemplan llegar a un acuerdo.
5. Poner en marcha una evaluación global de seguridad de un proveedor IT
Pensemos en una entidad bancaria que está interesada en contratar un determinado software. Esta herramienta va a tener acceso a datos sensibles de la organización y de sus clientes. De ahí que a la hora de tomar la decisión de cerrar o no la adquisición de la solución, la entidad bancaria necesite tener una garantía de que sus datos van a estar a salvo.
Este ejemplo nos permite esbozar un escenario en el que los security ratings son empleados por las empresas para iniciar una evaluación de seguridad de sus proveedores IT.
Así, las compañías de cierto tamaño y especialmente sensibilizadas en materia de ciberseguridad y protección de datos, emplean los servicios de security ratings para obtener una visión externa de la seguridad de los proveedores.
En el caso de que la calificación obtenida en los security ratings sea deficiente, pueden descartar directamente al proveedor evaluado. Mientras que, si la puntuación es óptima, lo habitual es que le hagan llegar el informe al proveedor para que, o bien subsane las deficiencias encontradas por la empresa que realizó el testeo, o bien justifique que dichas cuestiones son irrelevantes para garantizar la protección e integridad de los datos con los que el proveedor va a trabajar.
¿Son suficientes los security ratings para que una compañía pueda realizar una evaluación de seguridad de un proveedor IT? Manuel Santamaría, CIO de Tarlogic Security, sostiene que resulta necesario completar este testeo básico y externo con una checklist.
5.1. Checklist: profundizar en las políticas y mecanismos de seguridad de un proveedor
De hecho, el uso de checklist se ha estandarizado en el terreno de la ciberseguridad. Mediante estas listas, las compañías con importantes requerimientos de ciberseguridad y sometidas a una normativa cada vez más estricta, pueden evaluar con profundidad cómo son las políticas y procedimientos de seguridad de los proveedores IT.
Una checklist de esta naturaleza puede estar conformada por cientos de ítems para sondear cuestiones clave que van desde cómo el proveedor gestiona las credenciales y cuentas de sus usuarios hasta si ha firmado acuerdos de confidencialidad con todos sus trabajadores y sus propios proveedores.
Como advierte Santamaría, esta checklist no es un mero trámite, sino que las compañías invierten recursos humanos y temporales en elaborarlas, pero también en analizar las respuestas de los proveedores.
Así, si un potencial proveedor incumple algún ítem clave para la empresa, por ejemplo, la firma de los NDA con las empresas con las que trabaja, se puede establecer un plazo temporal para que el proveedor subsane la deficiencia.
Lo que implica, además, realizar un seguimiento del cumplimiento de la checklist y de la optimización de la estrategia de seguridad de un proveedor.
5.2. Securizar la cadena de suministro
Una de las principales tendencias de los últimos años en el ámbito de la ciberseguridad ha sido, sin duda, el incremento de los ataques a la cadena de suministros de las empresas.
Muchas compañías han hecho grandes esfuerzos para proteger sus activos y optimizar sus sistemas de seguridad. Lo que implica que a los ciberdelincuentes les resulte más difícil encontrar vulnerabilidades que explotar y vulnerar las defensas existentes.
De tal forma que se han extendido los ciberataques a la cadena de suministros. Si volvemos a nuestro ejemplo anterior, un delincuente puede optar por atacar a una entidad bancaria vulnerando a uno de sus proveedores, en vez de dirigir su ataque de manera directa contra la infraestructura de dicha organización.
¿Cuál es la consecuencia de esta tendencia? Que las compañías no tengan que tener en cuenta solo su propio estado de seguridad, sino también el de los proveedores que contratan. De nada sirve implementar una estrategia de ciberseguridad sólida en los sistemas, red, equipos y software de la empresa, si un proveedor que tiene acceso a su información no está debidamente protegido.
5.3. Salvaguardar los datos empresariales y de los clientes
Los ataques a la cadena de suministros ponen en tela de juicio, nada más y nada menos, que uno de los activos empresariales más importantes de cualquier compañía en el mundo actual: sus datos y los de sus clientes.
Si los delincuentes tienen acceso a los datos de una empresa pueden sustraerlos, secuestrarlos, venderlos y emplearlos para desarrollar otros ataques para cometer fraudes en los que la víctima puede ser la compañía, pero también sus clientes.
Las consecuencias reputacionales, económicas y legales pueden llegar a ser de grandes dimensiones y suponer un duro golpe para el modelo de negocio y la posición de la empresa en el mercado.
De ahí que las empresas estén apostando decididamente por evaluar a sus proveedores y asegurarse de que sus datos estarán a salvo a la hora de trabajar con estas empresas. De nada sirve que un proveedor ofrezca una solución tecnológica de gran utilidad, si al emplearla, la compañía está exponiendo sus datos en un panorama plagado de amenazas y riesgos.
En definitiva, los security ratings no sirven para evaluar de manera profunda el estado de seguridad de una empresa o de sus proveedores. Pero son útiles para analizar si la infraestructura tecnológica de una compañía que está expuesta a internet cuenta con una configuración básica adecuada. En este sentido, permiten proteger la reputación de una empresa y, sobre todo, funcionan como un punto de partida para llevar a cabo una evaluación de seguridad de los proveedores con los que desea trabajar una compañía.