Billy McDiarmid, Product & Engineering Director, Red Sift
¿Por qué son importantes las compañías de calificación de ciber riesgo?
Gartner denomina a esta categoría de productos soluciones de «gestión de riesgos de proveedores de TI». Se trata de productos que son utilizados principalmente por otras organizaciones interesadas en puntuar el riesgo de hacer negocios con su organización, basado en cómo evalúan sus activos de cara a Internet. Las organizaciones interesadas pueden ser su aseguradora o un cliente potencial. A su vez, éstas mismas pueden recurrir a empresas de calificación de ciber riesgo para que evalúen su cadena de suministro.
Dado que puede aumentar el coste de su seguro, reducir el alcance del mismo, repercutir en su capacidad para obtener préstamos o incluso impedir que un cliente trabaje con usted, debe prestar atención al funcionamiento de las empresas de calificación y tomar medidas para mejorar la puntuación o calificación que le otorgan.
Este proceso no solo afecta a los aspectos financieros, sino que también se convierte en un tema clave para la junta directiva, ya que las calificaciones están disponibles públicamente y pueden impactar la reputación de la empresa.
Recopilan información pública sobre los activos de una organización, evalúan su postura de seguridad y emiten una calificación en función de sus observaciones.
A pesar de su utilidad, este enfoque tiene limitaciones notables tales como:
Aunque cada producto usa su propio método, sabemos que buscan mejoras en tres aspectos:
Puede identificar, clasificar y corregir todos los errores de configuración de forma continua y proactiva. Pero es imposible solucionar todos los problemas identificados por las empresas de calificación.
En su lugar, a corto plazo, es crucial establecer las siguientes prioridades:
Esta tabla muestra los diferentes tipos de configuraciones incorrectas, la gravedad asociada y la mejora estimada en la puntuación si se corrigen antes de la próxima evaluación.
Tipo de error de configuración |
Puntuación |
Grado de Impacto |
Certificado revocado |
+1.7 |
Alto |
Ausencia de Política de Seguridad de Contenido (CSP) |
+1.4 |
Alto |
La cadena de redireccionamiento contiene HTTP |
+1.4 |
Alto |
Sitio web no implementa buenas prácticas HSTS |
+1.4 |
Alto |
El servicio SSL/TLS admite protocolos poco robustos |
+1.2 |
Alto |
Después, adoptar y mantener las mejores prácticas a largo plazo. Esto implica la integración de verificaciones de políticas de seguridad en tus procesos de desarrollo e implementación. Con el tiempo, estas acciones acumulativas no sólo mejorarán tu puntuación o calificación, sino que también contribuirán a mantenerla en un nivel alto.
• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.
• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.