Las agencias de calificación de ciberseguridad están en el punto de mira de Cesin (club de expertos en información y seguridad digital) quien acaba de emitir una opinión sobre el tema. Este sector está en auge en Estados Unidos y se está expandiendo a Europa, señala la asociación, pero lamenta la falta de control y regulación. Para conocer su postura, el club realizó una encuesta entre sus socios sobre el tema.

Un poco más de la mitad de los encuestados (179 en total) utilizan los servicios de las agencias de calificación para diversas necesidades. Los principales son evaluar la exposición pública y detectar fallos de seguridad (39%), cuestiones de imagen y reputación frente a terceros (34%), negociar una póliza de seguro cibernético (23%). Las aportaciones de las notaciones son múltiples, pero en primer lugar aceleran el control de su superficie expuesta, al tiempo que impulsan una mayor reactividad.

Índice
  1. Un mercado sin fe ni ley
    1. Cesin renueva su consejo de administración

Un mercado sin fe ni ley

Si los beneficios existen, el hecho es que se desean varias áreas de mejora. “Las calificaciones actuales representan una visión parcial del nivel de seguridad de la organización”, subraya Cesin, reclamando el derecho a acceder a la totalidad de lo que está asociado a la calificación. Además, “las calificaciones y sus fluctuaciones son sólo un conjunto de pistas sobre el nivel de seguridad”. También se destaca la cuestión de la transparencia en lo que respecta a los algoritmos y la ponderación. También existen preocupaciones sobre la distorsión de las calificaciones con riesgos de “manipulación” de las calificaciones. Cesin subraya, en resumen, que “la forma en la que se diseñan, entregan y comunican estas notas exige tomarlas con cierta cautela” y aboga por la contextualización y el trabajo conjunto con los CISO.

A partir de estos hallazgos, la asociación emite recomendaciones para estructurar este mercado. Además de la transparencia mencionada anteriormente, pide el desarrollo de agencias de calificación europeas. Es necesaria una regulación del mandato otorgado a las agencias prohibiéndoles vender paralelamente servicios destinados a mejorar las puntuaciones obtenidas.