¿Cuál es la puntuación de ciberseguridad de su empresa?

por el | 8 de agosto de 2016

Lo que Moody's y Standard & Poor's son para las calificaciones crediticias de las empresas, empresas como FICO y Bitsight se están convirtiendo en las calificaciones de riesgo cibernético para las empresas. Las empresas han confiado en las calificaciones crediticias para determinar los niveles de riesgo de las inversiones y ahora las empresas confían en las calificadoras para tener un punto de referencia estándar del riesgo cibernético. Esta industria en crecimiento de las calificadoras incluye una serie de proveedores y sus clientes utilizan sus servicios de diversas maneras.

Usos de las puntuaciones de ciberseguridad

Las compañías de seguros suelen utilizar las puntuaciones de ciberseguridad para ayudar a asignar el nivel de riesgo para el seguro cibernético. Posible impacto: El coste del seguro cibernético será probablemente más alto para las pequeñas empresas con lagunas en su ciberseguridad que para las empresas que cuentan con medidas sólidas.

Las empresas utilizan las puntuaciones para calificar a sus terceros proveedores durante el proceso de selección. Impacto potencial: Los proveedores pueden perder las ofertas no por el coste o los compromisos de servicio, sino por la escasa ciberseguridad.

Las empresas utilizan las puntuaciones para supervisar el nivel de riesgo de seguridad de sus proveedores externos y el impacto potencial para ellos. Impacto potencial: Las grandes empresas pueden exigir a sus proveedores medidas de ciberseguridad más estrictas y rescindir los acuerdos con los proveedores de baja puntuación.

Las empresas utilizan las puntuaciones para controlar el nivel de ciberseguridad de sus competidores. Impacto potencial: Las empresas pueden encontrar formas de aprovechar una ventaja competitiva de su fuerte ciberseguridad frente a las medidas más débiles de sus competidores.

Las empresas utilizan su propia puntuación para comunicar su nivel de riesgo al consejo de administración. Impacto potencial: Esto puede proporcionar apoyo a la gestión de la ciberseguridad para obtener el apoyo que necesitan debido a una mayor conciencia de la junta.

Los datos

Los datos que componen la puntuación de ciberseguridad se recogen de diversas fuentes de información de acceso público, entre ellas

  • Foros de hackers y datos disponibles en la Dark Web
  • Uso de la autenticación multifactorial por parte de una empresa
  • Vulnerabilidades conocidas de la red de una empresa
  • Puertos abiertos a la red de una empresa
  • Prácticas de parcheo

Las calificadoras de riesgo también analizan los datos que pueden entrar o salir de una red para determinar el volumen de malware, spam o virus que pueden estar asociados a la red de una empresa. Las calificadoras combinan los datos recogidos y analizados con sus modelos predictivos patentados. En algunos servicios, los datos se supervisan continuamente y una calificación puede cambiar rápidamente para reflejar cualquier fluctuación. Por ejemplo, si los datos robados aparecen repentinamente a la venta en la Dark Web, la calificación de la empresa afectada puede disminuir rápidamente.

Lo que puede hacer usted

Si su empresa utiliza proveedores externos, usted debería pensar en investigar los servicios de las empresas de scoring. Si usted es un proveedor de una gran empresa, usted debería considerar la posibilidad de hablar con su cliente sobre cómo están utilizando las puntuaciones de ciberseguridad para sus proveedores, como usted. La ciberseguridad ya no es un asunto privado dentro de su propia empresa. Los futuros acuerdos comerciales y contratos pueden ganarse o perderse por la eficacia de la ciberseguridad, no sólo por el precio o los niveles de servicio.