El uso de la tecnología ha permitido que, tanto empresas como profesionales, puedan medir su nivel de ciberseguridad permitiendo ofrecer la mejor opción para ofertar sus servicios y productos, reduciendo costos, tiempos de entrega, facilitar procesos y mejorando resultados. Sin embargo, muchas veces suele convertirse en una amenaza cuando se produce la carencia de recursos, pueden ser por falta de personal, conocimiento, infraestructura o innovación.
En la mayoría de los casos, se suele optar por tercerizar servicios, procesos o tecnología, donde se otorgan permisos a terceros, los cuales tienen acceso a gran parte de la información, pero ¿Cuáles son los niveles de ciberseguridad que implementan?
Una de las mayores preocupaciones es el nivel de seguridad y ciberseguridad que puede brindar un proveedor, ¿Cuál es el impacto que genera a mi organización?, ¿Cuáles son los controles de seguridad actuales?, ¿Cuáles son las amenazas potenciales puede cubrir?, ¿cuenta con los recursos suficientes para mitigar los riesgos? O ¿Cuál es el plan de contingencia ante una interrupción del servicio?, estas y muchas preguntas pueden surgir en el camino.
Para ello es importante que dentro del proceso de toma de decisiones se llegue a identificar el riesgo y costos en caso de alguna amenaza existente tomando en cuenta que los usuarios de servicios de terceros no pueden tomar decisiones informadas sobre el riesgo porque, aunque saben cuál puede ser su impacto potencial, no pueden determinar si el riesgo se realizará sobre los controles de seguridad que han implementado.
Existen 5 mecanismos que pueden ayudarnos a determinar el nivel de ciberseguridad
Cuestionarios: son fáciles de enviar, pero pueden ser difíciles de dominar. Requieren esfuerzos administrativos importantes y la información recopilada puede ser menos confiable (por ejemplo, el cuestionario de recopilación de información estandarizada.
Auditorías: brindan evaluaciones altamente precisas de la postura de seguridad, pero su implementación puede ser costosa. Además, reutilizar los resultados para diferentes clientes puede plantear desafíos, ya que el informe de auditoría incluye la opinión del auditor sobre el cumplimiento de los objetivos de control, pero normalmente omite información muy detallada sobre las definiciones de los controles (p. Ej., Informes de Controles de Sistemas y Organizaciones [SOC].
Esto requiere que los clientes lean los informes en detalle y analicen todas las conclusiones para comprender a fondo el nivel de ciberseguridad de un proveedor de servicios. Otro detalle importante es que debido a que el informe se refiere a un período de tiempo específico, los clientes deben implementar algún mecanismo para asegurarse de que las conclusiones del informe estén actualizadas.
Certificaciones: las certificaciones en ciberseguridad incluyen etiquetado que simplifica la comunicación para el proveedor de servicios. Sin embargo, los requisitos de verificación son específicos para ciertos casos de uso, lo que significa que lo que se verifica puede o no ser relevante para el cliente (es decir, los requisitos pueden ser más o menos avanzados de lo que se necesita, ya que el nivel de seguridad está relacionado con el nivel de riesgo o impacto que un incidente podría representar para el cliente)
Por ejemplo, Estándar de seguridad de datos de la industria de tarjetas de pago [PCI-DSS], Organización Internacional de Normalización / Comisión Electrotécnica Internacional [ISO/IEC] 27001). Otro factor por considerar es el alcance de los marcos de certificación y garantía (por ejemplo, la certificación de un sistema de gestión es bastante diferente a un marco de certificación de productos.
Calificaciones externas: son fáciles de implementar porque los clientes pueden simplemente pagar para conocer las calificaciones de sus proveedores de servicios. El principal problema es que la información recopilada es parcial, ya que solo se pueden observar ciertos problemas sin la autorización del proveedor, por lo que la conclusión proporcionada es sesgada.
Normalmente, se utiliza un número entre 0 y 1000 para evaluar la postura de seguridad de un proveedor; esta calificación se actualiza periódicamente de forma automática (es decir, continuamente), de modo que los clientes puedan observar tanto la calificación actual como su evolución desde las calificaciones anteriores.
Calificaciones mejoradas: son similares a las calificaciones externas, o se actualizan continuamente, pero evalúan las capacidades de ciberseguridad de cada uno de los servicios ofrecidos por el proveedor, con 1 calificación proporcionada por servicio. Se entrega una etiqueta que el proveedor puede usar para mostrar qué controles de seguridad se han implementado.
Otra diferencia entre las calificaciones mejoradas y las calificaciones externas es que, los criterios utilizados para calcular la calificación son públicos y transparentes. Estas calificaciones suelen proporcionar niveles basados en categorías (p. Ej., A +, A, B) en lugar de números (p. Ej., Pinakes).
Es importante considerar realizar monitoreo continuo y diagnósticos de seguridad en su organización, de esta manera podrá contar con un mayor nivel de transparencia y evaluaciones integrales de ciberseguridad e identificar los controles de seguridad implementados por sus proveedores.
Conozca el nivel de ciberseguridad que tiene actualmente su organización, contacte con nuestros especialistas y obtenga un mejor panorama sobre los riesgos y amenazas que lo rodean.