Security Ratings, poniendo nota a la ciberseguridad de una empresa

Al igual que en el entorno financiero se cuantifica el riesgo crediticio de un cliente, también en ciberseguridad se ha empezado a cuantificar el ciber-riesgo de una organización.

Cuando hablamos de ciberseguridad debemos tener en cuenta que existen tres características fundamentales: confidencialidad, integridad y disponibilidad. Se trata de propiedades que configuran el grado de fiabilidad —en su más amplio sentido— de los sistemas, datos, estructuras organizacionales, socios o empleados de una compañía.

Desde hace muchos años, organismos como ISO, NIST CSF o incluso MITRE CTSA se esfuerzan por definir un marco uniforme y aceptado para el cumplimiento de las tres características mencionadas. Existe un amplio conjunto de esquemas de certificación para productos, sistemas, soluciones, servicios y organizaciones. Sin embargo, no existe una solución unificada o combinada de todos ellos. En estas circunstancias resulta difícil entender lo que se requiere para llegar a expresar de forma objetiva un nivel de seguridad.

El esfuerzo más reciente se puede ver en DORA (Digital Operational Resilience Act o borrador de Reglamento de resiliencia digital operativa). De aprobarse, llevaría al establecimiento de un marco único europeo de obligaciones, principios y requerimientos respecto a ciberseguridad para el sector financiero, un sector considerado como de los más importantes a la hora de garantizar su seguridad. Se trata de una norma que de aprobarse, se convertiría en la sucesora de La Directiva NIS.

Los organismos de estandarización definen controles, procesos o procedimientos en dominios que evalúan la seguridad de los sistemas de información de una compañía. Estos dominios afectan a los programas de gestión de la seguridad de la información, la seguridad de las instalaciones, la gestión de terceras partes, el cumplimiento normativo, los controles de red, el control de acceso, la gestión de incidentes, el cifrado de la información, el desarrollo seguro de software, la monitorización de sistemas, la protección frente a malwares, la resiliencia, los modelos de operación de los sistemas o la seguridad del personal. En su conjunto aglutinan más de un centenar de controles cuyo cumplimiento atestigua la adecuación de una organización a los estándares de calidad definidos y encargados de reducir los riesgos de ciberseguridad.

Sin embargo, esa adecuación no es suficiente por sí sola. Los evaluadores de su cumplimiento, en muchas ocasiones, deben recurrir a valoraciones que obtienen fuera del marco de control del cliente: evidencias de ciberataques, identificación de configuraciones erróneas de sistemas, fugas de información no detectadas, comportamientos inadecuados de usuarios o posibles impactos de eventos de ciberseguridad de terceras partes, como proveedores o socios. Todos son datos, recopilados por medios ajenos a la organización —en forma de búsquedas activas o técnicas de hacking— que son parte de lo que se define como su valoración externa.

Esta valoración externa suele recurrir a clasificaciones basadas en niveles. Sin embargo, no lo hace de forma estandarizada y unificada. Algunos utilizan datos numéricos, otros indicadores alfabéticos… Todo un galimatías que poco ayudan cuando se pretende establecer comparativas. Ahora bien, ¿por qué no existe un criterio uniforme entre todos los evaluadores para poder comparar adecuadamente los valores? La respuesta parece encontrarse en el mercado.

Las metodologías para realizar los ratings de ciberseguridad suelen formar parte de la propiedad intelectual de las compañías que los proporcionan. Estas tienden a utilizar complejos modelos matemáticos y de Inteligencia Artificial que prefieren no divulgar para proteger —y ampliar— su cuota de clientes.

Los inversores han descubierto en ellos una oportunidad real de negocio. Puesto en palabras de los analistas de Gartner, “en los próximos años, los ratings de ciberseguridad serán tan importantes para las empresas como las valoraciones de sus riesgos financieros”.

De hecho, compañías como BitSight, UpGuard o Security Scorecard son ya reconocidas en el mercado. Pero no son las únicas. En Europa existen algunas iniciativas como la de la francesa Cyrating, o incluso la española LEET Security, que están abriéndose un hueco. Todas disponen de metodologías y algoritmos de cálculo propios que emplean para ponderar diferentes elementos de evaluación.

El mayor problema al que se enfrentan estos proveedores es que a menudo solo analizan la parte más superficial de la ciberseguridad del cliente, lo que lleva a conclusiones que resultan parciales respecto al estado de su seguridad. Por eso, cada vez más, algunos bogan por combinar métodos que tengan en consideración otros aspectos más profundos dentro de la estructura y organización de la empresa evaluada.

Llegados a este punto, la pregunta que nos surge es ¿qué deberíamos hacer para conseguir estandarizar los ratings de ciberseguridad a nivel global? Más aún, ¿cómo podríamos definir objetivamente esos ratings sin asumir la subjetivación de su valor?

Múltiples instituciones como el ENISA o la USCC llevan tiempo plantándose estas cuestiones mientras tratan de definir los principios básicos que han de guiar la definición de un modelo unificado de valoración. Entre esos principios está por supuesto la transparencia de las compañías encargadas de las valoraciones; en particular, en los modelos de cálculo que emplean y en los datos que recopilan. También está la capacidad de la organización evaluada de disentir, comentar y corregir las valoraciones antes de su publicación. Y por supuesto, en el cumplimiento de las normativas vigentes.

A este respecto, en Europa se vienen desarrollando nuevos reglamentos que de una forma o de otra conducen a objetivar el nivel de ciberseguridad de compañías e instituciones. Leyes y normativas como GDPR, NIS, NIS-2, DORA, etc. inciden es ese aspecto como elemento de referencia. Quizás basándose en esta línea, recientemente, el Centro de Cooperación Interbancaria lanzaba en España su iniciativa Pinakes cuyo objetivo no es otro que uniformizar esos ratings de ciberseguridad dentro del mercado financiero. Es de prever que este modelo se extienda a otros sectores y que los ratings de ciberseguridad pasen a responder a indicadores propios de cada mercado.

Por el momento, estamos ante una línea atractiva de desarrollo futuro. Gartner la cataloga entre las 10 más relevantes para el año 2021, y posiblemente así sea. Todo dependerá del interés que despierte en los CISO, CFO y CEO de las empresas receptoras del servicio.

Solo nos queda pedir que, si el mercado se consolida, las compañías que realicen esos ratings no acaben por tener excesivo poder. Que no les ocurra como en 2010 durante la crisis financiera, cuando sus empresas de ratings, llegado el momento de responder de sus valoraciones, simplemente miraron para otro lado.