El rating crediticio que mide la ciberseguridad de las empresas
Entrevista a Antonio Ramos, CEO de LEET Security, sobre la necesidad de contar con una calificación de seguridad para saber en qué situación se está y acreditarla y conocer qué soluciones se necesitan y en qué áreas para mejorarla.
En la era digital nos enfrentamos a nuevos riesgos de seguridad. ¿Podrías señalarnos los más prioritarios?
Los últimos años han sido de un desarrollo vertiginoso de la tecnología, pero también de una aceptación igualmente rápida por parte del gran público. Hoy son cotidianas acciones que hace tan sólo unos años eran casi de ciencia ficción, como comunicarnos o hacer operaciones bancarias, por ejemplo, en cualquier momento y lugar de manera instantánea, seguir las noticias, tener el cine en casa o consultar una receta. Pensemos que el primer iPhone es de 2007.
El mundo de los negocios no es ajeno. Hoy el teletrabajo es posible para muchos gracias a esos avances, pagar facturas o tener sistemas interconectados con clientes y proveedores. Pero de la mano de estos avances han llegado también nuevas amenazas, en gran medida asociadas a la diferente velocidad con respecto a la capacidad de preparación y adaptación. Por tanto, el primero y fundamental es invertir en formación e información.
Por otro lado, en lo tecnológico, de lo que más se habla, tanto por su sex appeal como por su capacidad para incidir en el resto de problemáticas de la ciberseguridad, es la Inteligencia Artificial, ya tan de moda, tan en auge, tan presente y tan en uso, sobre todo para crear mejores y más efectivas estafas y campañas de phishing. De tan realistas, comienza a ser difícil discernir qué es y qué no.
Y en cuanto al foco de los ataques, este se va ampliando para incluir a los cada vez más numerosos gadgets conectados, sobre todo aquellos que puedan ser identificados como potencialmente rentables por los malos.
Muchas de las opciones preferidas por los clientes de seguridad son parciales o segmentadas. ¿Qué beneficios ofrece optar por soluciones globales?
La primera parte de toda solución es conocer el problema, cuáles son las carencias y poder establecer cuáles son las necesidades y las posibles soluciones. La calificación de seguridad no sólo sirve para saber en qué situación se está o para acreditarla, permite también, gracias a su completo informe, conocer qué soluciones se necesitan y en qué áreas.
¿Qué procedimientos seguís?
El sistema, salvando mucho las distancias, es como una ITV de la ciberseguridad a gran escala en la que se utiliza una muy completa evaluación con numerosos elementos de control que permite conocerse, así como las medidas que hacen falta para mejorar la seguridad.
El primer paso es que la empresa realiza una primera autoevaluación tutelada, dado que opta por el nivel en el que desea calificar su servicio, debiendo cumplimentar una memoria en la que se define cómo cumple con las prácticas requeridas para dicho nivel, y que es auditada para verificar que el nivel propuesto es el adecuado. Al concluir, recibe un informe y una calificación por cada una de las tres dimensiones de Confidencialidad, Integridad y Disponibilidad de la información. La calificación va desde la A+ hasta la D, exigiendo ya desde el nivel ‘D’ el cumplimiento de unas medidas básicas de seguridad.
Tecnología, personas y procedimientos: ¿Puedes resumirnos el enfoque de las tres?
¿Qué sentido tiene tener tecnologías muy complejas si no hay formación para empleados o, por ejemplo, protocolos de gestión de acceso o de cambio de contraseña? La principal puerta de entrada de los ciberataques suelen ser fallos humanos, por eso, la metodología cubre aspectos que van a más allá de lo tecnológico, pero sin olvidarse de ello, y hace mucho hincapié en que se hayan implantado procedimientos adecuados referidos a la seguridad, y que exista formación específica y actualizada.
¿Cómo se gana la confianza de aquellos autónomos, profesionales y micropymes con poco recorrido en la digitalización a nivel de seguridad?
El proceso es sencillo, transparente y fiable y el resultado es claro y fácil de entender debido a su sistema de niveles, similar al ya utilizado en otras calificaciones ya habituales. Y proporciona, además de una imagen fidedigna de la situación actual de seguridad, un plan con las acciones para mejorar las capacidades en materia de ciberseguridad.
De la reciente legislación española y europea, ¿qué aspectos enfocados a la seguridad consideras más urgentes?
La Unión Europea está haciendo un desembarco normativo serio en lo referente a ciberseguridad con nuevas normativas como DORA, para el sector financiero, y NIS2, que estarán activas antes de 2025. Aunque están enfocadas a empresas de un cierto tamaño y determinados sectores, sí que afecta al ecosistema debido a su vigilancia sobre la cadena de suministro. Esto traerá, esperemos, mayor concienciación, formación e inversión en ciberseguridad, sobre todo en las empresas afectadas.
Si ya existen certificaciones, ¿qué sentido tiene una calificación?
La calificación viene a solventar el problema de cómo medir la ciberseguridad ya que una certificación sólo acredita que se cumplen unos requisitos mínimos, pero no es capaz de decirnos cuánto por encima de esos requisitos se está. A modo de ejemplo: cuando viajamos, elegimos el hotel por sus estrellas. Todos los hoteles considerados cumplen unos mínimos recogidos en la licencia de apertura (que sería el equivalente a una certificación), pero no todos tienen las mismas estrellas (que es el equivalente a una calificación).