LOS “OTROS” RATINGS DE CIBERSEGURIDAD
¿Confiarías tus ahorros a un fondo que se jacta de canalizar todas sus inversiones exclusivamente en base a noticias de prensa?
Las agencias de rating crediticio, Moody’s, Standard&Poors, Fitch, y otras no tan conocidas, son contratadas por las principales organizaciones públicas y privadas del mundo para analizar y valorar su solidez financiera, de forma que cuanto mejor sea la calificación obtenida en ese análisis, más confianza les proporciona a los inversores y, en consecuencia, la organización tendrá más facilidad para la captación de capital y mejores condiciones para la financiación de su deuda.
Para realizar este análisis, las compañías abren sus libros de cuentas a las agencias, y por ello, sus ratings tienen una gran aceptación -que persiste tras el varapalo de la crisis de 2008- como el método más fiable de evaluar el riesgo financiero, y es una de las bases en la que los más importantes fondos del mundo fundamentan la inversión de miles de millones de euros.
Confiar los ahorros a un fondo que basa su inversión en las noticias de prensa sería lo mismo que confiar en que tus proveedores operan con un adecuado nivel de ciberseguridad en base a los resultados de un rating externo como los proporcionados por BitSight, MetricStream, RiskRecon, SecurityScorecard,… o tantos otros que proliferan en los últimos años con esta actividad, bajo el reclamo de que ofrecen la clave para gestionar los riesgos con los proveedores.
No voy a decir que las noticias de prensa son inútiles, y tampoco que lo sean los ratings de ciberseguridad externos. De hecho, todas estas compañías han sido capaces de conseguir financiación por unas cantidades desorbitantes. Evidentemente con la filosofía especulativa del capital-riesgo que acompaña la tendencia. Y la verdad es que están aprovechando muy bien estas inyecciones de capital para hacer unas campañas de marketing excelentes y posicionarse en el mercado como si fuesen la solución definitiva.
Sin embargo, estos modelos no aguantan el más somero análisis.
Para empezar, la base de muestreo. Y voy a poner un caso real sobre un proveedor: Telefónica. El rating externo se basa en el análisis realizado sobre el perímetro expuesto en Internet, y para ello hace un “descubrimiento” de las direcciones IP y dominios que están asociados al dominio principal telefonica.com, y así obtiene miles (o millones) de activos que Telefónica tiene por todo el mundo, incluyendo los routers en sus clientes. No hace falta decir lo inadecuado de este perímetro para analizar nada sobre el mismo.
De hecho y a título anecdótico, la CISO de una importante compañía, a quién la propia Telefónica le vende una de estas soluciones, nos contó que los resultados de la misma para la propia Telefónica desaconsejaban su contratación como proveedor de servicios debido al bajo rating proporcionado por la herramienta.
Sin llegar a tanto, la inexactitud en la base del análisis obtenido de esta forma, para casi cualquier tipo de organización, es evidente. Y no solo por los errores que pueden cometerse al establecer el perímetro sobre el que realizar el análisis, sino también por las limitaciones que dicho análisis tiene al realizarse única y exclusivamente, de forma no intrusiva, desde el exterior.
Por supuesto, nos puede aportar buena información sobre algunas vulnerabilidades: puertos abiertos de forma indebida, dominios de correo incluidos en listas de spam, versiones obsoletas de servidores web, bases de datos accesibles desde el exterior...Bien, todo ello es importante, y por ello estos servicios están teniendo un buen nivel de aceptación. Sin embargo, lo que resulta más importante para determinar el nivel de ciberseguridad en una organización está dentro de la misma, y no se puede ver desde fuera.
Sabemos que la gran mayoría de los ataques de ransomware provocan los resultados buscados debido a que un empleado imprudente recibe un correo y pulsa sobre un enlace que no debía, derivando en el secuestro de la información de la compañía. ¿Cómo puede evaluarse desde el exterior la formación y concienciación del personal para evitar esta situación?, y también, ¿cuán preparada está la organización para recuperarse de un ataque de este tipo?, ¿disponen de copias de seguridad y son capaces de restaurar la información, de forma que su negocio no se vea afectado?
¿Cómo de robusta es la política de control de acceso? ¿Y el uso de sistemas antivirus? ¿Se realizan actualizaciones de los servidores y estaciones de trabajo para evitar vulnerabilidades? Desde luego que estas, y otras muchas características fundamentales para determinar el grado de ciberseguridad y preparación ante incidentes solamente pueden ser respondidas por una evaluación tipo “caja blanca”, en la que la organización abra sus puertas para que una auditoría rigurosa determine en nivel real de seguridad con que se opera. E incluso, siendo más preciso, el implantado en los diferentes servicios, que, por supuesto, pueden tener cada uno diferentes características.
Esto es lo que hacemos en LEET Security: evaluamos desde dentro todos los factores que deben tenerse en consideración para determinar la madurez y robustez en ciberseguridad de los servicios prestados, que completamos con una evaluación externa similar a las mencionadas antes. Por ello, no nos equivocamos al decir que nuestro rating, la calificación de ciberseguridad, es el único que proporciona una visión real y fidedigna del nivel de ciberseguridad de la organización, y así, también el único que le permitirá contratar con total confianza los servicios de los proveedores que cuentan con la calificación.
Recientemente, aunque no recuerdo a quién, escuché esta frase: “Pensar que los riesgos de ciberseguridad pueden gestionarse mediante estos ratings externos es como asegurar un edificio a partir de una fotografía desde el exterior”. ¿Aseguraría su negocio mediante una fotografía desde el exterior de sus proveedores?
All you need is LEET!
Recibe nuestras notificaciones desde este enlace