Hoy en día, todas las empresas -independientemente de su tamaño, segmento industrial o ubicación- son vulnerables a los ciberataques. También lo son los gobiernos, los servicios públicos y privados, las universidades, los hospitales y las organizaciones sin ánimo de lucro. Además, los ciberdelincuentes crean continuamente nuevas herramientas y técnicas para aprovechar las vulnerabilidades de los sistemas y tecnologías que impulsan nuestras economías y enriquecen nuestras vidas.
Fast Fast Forward habló recientemente con Carlos Rodríguez Sanz y José Ferreira Costa sobre cómo É«¶à¶àÊÓƵtrabaja con SecurityScorecard para ayudar a las empresas a identificar dónde y cómo podrían ser vulnerables a los ciberataques.
Carlos, ¿podrías empezar explicando qué pueden hacer las organizaciones para combatir esta amenaza en evolución continua?
Carlos Rodríguez Sanz (CS): Los profesionales de la ciberseguridad suelen recomendar un planteamiento basado en tres vertientes:
Como un taburete de tres patas, todas son esenciales; si se quita una, el taburete se cae. O, en el caso de la cibernética, cuando una organización es víctima de una violación de datos, los costes directos e indirectos, incluidos los impactos en la reputación, pueden ser devastadores cuando falta uno de estos elementos.
La prevención es lo primero y más importante. No puedo insistir y enfatizar más en este punto. Y por eso É«¶à¶àÊÓƵcolabora con SecurityScorecard, para ayudar a las empresas a evaluar sus vulnerabilidades e identificar dónde deben reforzar sus defensas.
En cuanto a la respuesta, nuestro equipo está preparado para ayudar si se produce una brecha. Trabajamos con los principales proveedores de respuesta a las infracciones para proporcionar acceso a una línea de atención telefónica 24 horas al día, 7 días a la semana, para ayudar a las organizaciones a superar estas delicadas situaciones. Nuestras coberturas cibernéticas también incluyen el acceso a empresas especializadas en informática forense, cuestiones legales, relaciones públicas y control de crédito e identificación.
Por último, hay que utilizar el seguro para transferir el riesgo. Aunque los pros y los contras de las diferentes opciones de cobertura son temas para otro día, me gustaría señalar que É«¶à¶àÊÓƵestá preparada para evaluar las exposiciones cibernéticas de las organizaciones y trabajar con los clientes en esfuerzos de colaboración para reducir y mitigar las amenazas. Nuestro objetivo es ayudar a los clientes a volver a su actividad y resolver los siniestros cubiertos lo antes posible.
También añadiría que los tres aspectos -prevención, respuesta y mitigación- deben revisarse y actualizarse periódicamente. El riesgo cibernético evoluciona y muta constantemente, ya que los ciberatacantes buscan continuamente vulnerabilidades en los sistemas informáticos de las organizaciones y desarrollan nuevas herramientas y tácticas para llevar a cabo sus ataques.
José, ¿qué es SecurityScorecard y cómo ayuda a las empresas a prevenir los ciberataques?
José Costa (JC): Fundada en 2013, SecurityScorecard es el líder mundial en valoraciones de ciberseguridad y el único servicio con millones de organizaciones valoradas continuamente. Nuestra misión es hacer del mundo un lugar más seguro transformando la forma en que las organizaciones entienden, mejoran y comunican el riesgo de ciberseguridad a sus juntas directivas, empleados y proveedores. Con el apoyo de AXA Venture Partners, nuestra oferta incluye ahora una gama completa de soluciones de ciberseguridad.
Las valoraciones de ciberseguridad son análogas a las valoraciones crediticias financieras: al igual que una mala valoración crediticia se asocia a una mayor probabilidad de impago, una mala valoración de ciberseguridad indica una mayor probabilidad de que una organización sufra una violación de datos u otro evento cibernético adverso.
SecurityScorecard recopila y analiza indicios de amenazas globales que dan a las organizaciones visibilidad instantánea de la posición de seguridad de los proveedores y socios comerciales, así como la capacidad de hacer una autoevaluación de su propia posición de seguridad. SecurityScorecard supervisa continuamente 10 grupos de factores de riesgo para ofrecer al instante una calificación A-F fácil de entender. Los factores de riesgo incluyen: exposiciones a la seguridad de la red, salud del DNS, cadencia de parches, seguridad de los puntos finales, seguridad de las aplicaciones, reputación de la IP e indicadores sociales como vigilancia de los sitios de hackers en busca de conversaciones sobre la organización y si hay información potencialmente confidencial de la organización (como contraseñas o credenciales) que hayan sido expuestas.
Las puntuaciones de los diez factores se ponderan de acuerdo con su gravedad relativa, y las puntuaciones ponderadas se agregan para producir una puntuación global de 0 a 100. A continuación, se asigna una letra de valoración de la A a la F, que proporciona una indicación sencilla e intuitiva de la probabilidad de que una organización sufra un ciberataque. Al mismo tiempo, las puntuaciones individuales de los factores ayudan a los equipos de TI a identificar las vulnerabilidades que justifican un análisis más profundo y, si es necesario, su corrección. En otras palabras, la tarjeta de puntuación es significativa y procesable para el equipo de TI de una organización y su consejo de administración y ejecutivos de la C-Suite.
¿Cómo utilizan las empresas esta información?
CS: Las organizaciones utilizan nuestras valoraciones de seguridad de varias maneras. Los equipos de TI tienden a centrarse más en las puntuaciones de los factores como una herramienta de diagnóstico continuo para ayudarles a identificar las vulnerabilidades. Al mismo tiempo, las valoraciones de las letras ofrecen a los consejos de administración y a los ejecutivos de la C-Suite instantáneas de lo bien protegidas que están sus organizaciones de los ciberataques, lo que les ayuda en su toma de decisiones estratégicas.
Las empresas también utilizan las valoraciones para evaluar a sus proveedores. Esta aplicación es cada vez más importante, ya que los hackers se dirigen cada vez más a los actores más pequeños de la cadena de suministro y luego ascienden hacia el objetivo principal. En consecuencia, los ecosistemas ampliados de proveedores o vendedores de las empresas representan una vulnerabilidad adicional que deben investigar y supervisar.
Por último, las instituciones financieras y los inversores utilizan las valoraciones para comprender los tipos de riesgo cibernético que pueden heredar.
¿Cómo utiliza É«¶à¶àÊÓƵlas tarjetas de puntuación?
CS: Las scorecards son una herramienta inestimable para nosotros, y los datos de SecurityScorecard se integran en nuestras plataformas de suscripción. No es de extrañar que comencemos con las calificaciones de las letras; éstas ayudan a nuestros suscriptores en la selección de riesgos. Por ejemplo, si una empresa recibe una C o una B, eso indica una oportunidad de trabajar juntos para reducir las vulnerabilidades y, cuando se abordan satisfactoriamente, discutir las opciones de cobertura.
SecurityScorecard también supervisa continuamente el panorama de las amenazas, lo que nos ayuda a gestionar el riesgo a gran escala, es decir, la posibilidad de que un solo evento cause una interrupción masiva. Cuando se produce un evento cibernético generalizado, SecurityScorecard puede ayudarnos a identificar a los clientes que probablemente estén expuestos para que podamos alertarles de la necesidad de tomar medidas preventivas.
¿Hay algún otro punto que le gustaría comentar?
JC: Aunque nuestro debate se ha centrado en la prevención, la respuesta a los incidentes -la segunda pata del taburete de Carlos- también es cada vez más importante. Cuando se produce una filtración, una empresa debe responder rápida y eficazmente para evitar más pérdidas de datos. Y una vez contenida la brecha, deben documentar y registrar el incidente, realizar análisis forenses digitales y, sobre la base de esas investigaciones, corregir las vulnerabilidades e implementar las medidas necesarias para prevenir nuevos ataques.
CS: Así es. Una respuesta rápida y eficaz a los incidentes es de vital importancia para los clientes y las aseguradoras. Los clientes quieren limitar los impactos y restaurar sus datos lo antes posible. Las acciones que contengan rápida y eficazmente una brecha y reduzcan los daños ayudarán a los clientes a recuperar su negocio antes y con menos interrupciones.
