91吃瓜

Lo que Moody鈥檚 y Standard & Poor鈥檚 son para las calificaciones crediticias de las empresas, empresas como y lo est谩n llegando a ser para las calificaciones de riesgo cibern茅tico de las empresas. Las empresas han recurrido a las calificaciones crediticias para determinar los niveles de riesgo de inversi贸n y ahora conf铆an en las agencias de calificaci贸n para disponer de un punto de referencia est谩ndar del riesgo cibern茅tico. Este sector en expansi贸n de las agencias de calificaci贸n cuenta con varios proveedores, y sus clientes utilizan sus servicios de diversas maneras.

Usos de las puntuaciones de ciberseguridad

Las compa帽铆as de seguros suelen utilizar puntuaciones de ciberseguridad para determinar el nivel de riesgo a efectos de los seguros cibern茅ticos. Posible repercusi贸n: es probable que el coste de los seguros cibern茅ticos sea m谩s elevado para las peque帽as empresas que presenten deficiencias en su ciberseguridad que para aquellas que cuenten con medidas s贸lidas.

Las empresas utilizan puntuaciones para evaluar a sus proveedores externos durante el proceso de selecci贸n. Posible repercusi贸n: los proveedores podr铆an perder licitaciones no por motivos de coste o de compromisos de servicio, sino por una ciberseguridad deficiente.

Las empresas utilizan puntuaciones para supervisar el nivel de riesgo de seguridad de sus proveedores externos y el posible impacto que esto podr铆a tener en ellas. Posible impacto: las grandes empresas pueden exigir a sus proveedores medidas de ciberseguridad m谩s estrictas y rescindir los contratos con aquellos que obtengan puntuaciones bajas.

Las empresas utilizan puntuaciones para supervisar el nivel de ciberseguridad de sus competidores. Posible repercusi贸n: las empresas podr铆an encontrar formas de sacar partido de la ventaja competitiva que les proporciona su s贸lida ciberseguridad frente a las medidas m谩s deficientes de sus competidores.

Las empresas utilizan su propia puntuaci贸n para comunicar su nivel de riesgo al consejo de administraci贸n. Posible repercusi贸n: esto podr铆a ayudar a que la direcci贸n de ciberseguridad obtenga el apoyo que necesita, gracias a una mayor sensibilizaci贸n del consejo.

Los datos

Los datos que conforman la puntuaci贸n de ciberseguridad se recopilan de diversas fuentes de informaci贸n de acceso p煤blico, entre las que se incluyen:

• Foros de hackers y datos disponibles en la Dark Web
• El uso de la autenticaci贸n multifactorial por parte de una empresa
• Vulnerabilidades conocidas en la red de una empresa
• Puertos abiertos en la red de una empresa
• Pr谩cticas de aplicaci贸n de parches

Los evaluadores de riesgo tambi茅n analizan los datos que pueden entrar o salir de una red para determinar el volumen de malware, spam o virus que pueda estar asociado a la red de una empresa. Los evaluadores combinan los datos recopilados y analizados con sus modelos predictivos propios. En algunos servicios, los datos se supervisan de forma continua y la calificaci贸n puede cambiar r谩pidamente para reflejar cualquier fluctuaci贸n. Por ejemplo, si de repente aparecen datos robados a la venta en la Dark Web, la calificaci贸n de la empresa afectada puede reducirse r谩pidamente.

Lo que usted hacer

Si su empresa recurre a proveedores externos, usted plantearse informarse sobre los servicios que ofrecen las empresas de evaluaci贸n de ciberseguridad. Si usted proveedor de una gran empresa, usted considerar la posibilidad de hablar con su cliente sobre c贸mo utilizan las puntuaciones de ciberseguridad para evaluar a sus proveedores, como usted. La ciberseguridad ya no es un asunto interno de su propia empresa. En el futuro, la obtenci贸n o p茅rdida de acuerdos comerciales y contratos podr铆a depender de la eficacia en materia de ciberseguridad, y no solo del precio o los niveles de servicio.