El 6 de julio de 2023, Isaca-Afai (rama francesa de Isaca, asociación internacional que trabaja para mejorar la gobernanza de los sistemas de información) reunió a varios CISO de empresas francesas y a un corredor de ciberseguros para abordar la cuestión de las ciberpuntuaciones. En este debate moderado por Olivier Patole, director general de la start-up Trustable, los distintos ponentes discutieron sus casos de uso, pero también su visión, a veces bastante clara, sobre el valor y los límites de este tipo de herramientas.
En la introducción, Olivier Patole recordó el funcionamiento de las agencias de calificación de ciberseguridad, un mercado que apareció hacia 2015 y que desde entonces ha crecido significativamente. Estos actores evalúan la postura de ciberseguridad de las empresas “basándose únicamente en datos disponibles públicamente y fuentes abiertas”. Escaneos de los distintos servicios expuestos, análisis de reputación de IP y dominios públicos, incluso búsquedas de información en la web oscura para identificar posibles fugas de información... De este modo, se puede recopilar y analizar mucha información sin siquiera solicitar la empresa.
Sin embargo, según Olivier Patole, “algunas agencias ofrecen a las empresas calificadas la oportunidad de completar los elementos recogidos en su entorno, especificar su organización, los procesos y las medidas de seguridad implementadas, para eventualmente reajustar la evaluación inicial. » Luego citando la reciente investigación de Cesin sobre el temaOlivier Patole destacó la diversidad de casos de uso entre las empresas que utilizan estas calificaciones de ciberseguridad, es decir, el 55% de los 179 encuestados. Para el 39%, estos billetes son vistos como una forma entre otras de controlar su exposición pública y detectar defectos para remediarlos. El 34% lo utiliza para cuestiones de imagen y reputación de la empresa y el 23% para negociar una póliza de ciberseguro. El 17% utiliza las calificaciones para hacer reaccionar a los directivos de su empresa y, finalmente, el 16% confía en estas evaluaciones para desafiar a terceros (proveedores y socios).
Evalúe su propia postura, pero también la de los proveedores.
Esta diversidad de aplicaciones se encuentra entre los testimonios de los invitados. Así, Nicolas Andreu, CISO del grupo Coface, utiliza estas notas para comprobar cómo perciben terceros, en particular socios potenciales o existentes, su postura en materia de ciberseguridad. “Nosotros mismos estamos siendo observados”, subraya. Pero también lo utiliza para la gestión de riesgos de sus proveedores, un imperativo en el contexto de regulaciones de dora (Ley de Resiliencia Operacional Digital) a la que están sujetos todos los actores del sector financiero. "Buscamos utilizar agencias cibernéticas para recuperar la puntuación e integrar este elemento en nuestra gestión de riesgos de proveedores; es realmente el área más fuerte para nosotros", confía Nicolas Andreu. Pragmáticamente, las puntuaciones enriquecen los procesos de evaluación de proveedores de Coface. La empresa también integra estas herramientas en sus metodologías, priorizando a los actores más importantes para tener un nivel de supervisión más profundo. Franck Mahe, CISO de Bred, también está sujeto a Dora. Dispone de una herramienta de calificación proporcionada por los servicios de ciberseguridad del grupo BPCE y, como Nicolas Andreu, la utiliza para tener "una visión independiente del nivel y la postura" de los terceros con los que trabaja el banco. La solución también le ayuda a poder gestionar su propia puntuación y “no quedar ciego ante determinadas solicitudes de los principales clientes”. Finalmente, también se basa en este indicador para identificar la presencia de TI en la sombra.
Debido a su actividad, Nhat Truong, responsable de la práctica de ciberriesgos en Marsh France, tiene un enfoque ligeramente diferente. La corredora de seguros utiliza tres servicios de calificación diferentes, con el objetivo de preparar a sus clientes para la contratación o renovación de un ciberseguro. “Las ciberaseguradoras reciben cuestionarios de declaración cumplimentados por los clientes. La ley les prohíbe realizar auditorías de estos. Por lo tanto, utilizan inteligencia de fuente abierta (Osint), a través de estas agencias de calificación, para realizar una evaluación un tanto técnica y pragmática de las empresas”, explica Nhat Truong. Según él, las aseguradoras no sólo se fijan en las calificaciones, sino también en los detalles técnicos asociados. Si los elementos proporcionados revelan inconsistencias en comparación con las respuestas al cuestionario - por ejemplo, un servidor VPN que no está parcheado, a pesar de que el cliente ha indicado corregir los fallos en un plazo máximo de 72 horas -, esto permite " abrir el "Discusión" con las empresas Si bien ciertos elementos pueden representar verdaderas señales de alerta para las aseguradoras, como la apertura de los puertos RDP, Nhat Truong añade una aclaración importante: “la mayor parte de la calificación se basa en elementos distintos de estas notas. percepción de la aseguradora, pero sólo influye en la calificación final en torno al 5% ».
Ser capaz de ponderar y contextualizar notas
Para Didier Fournier, DSSI independiente, estas calificaciones son interesantes, pero observa, no obstante, varias limitaciones. Una de las más importantes es la falta de transparencia en los algoritmos utilizados para calificar a las empresas. “Notamos fallas al evaluar ciertas herramientas, como falsos positivos o una evaluación que solo cubre sitios web institucionales. Sin embargo, estos no suponen realmente un riesgo importante para la empresa, afirma. Si un sitio institucional es vulnerable, tal vez habrá un impacto en la imagen, pero no necesariamente un paro de producción en caso de un ataque”. Para él, lo que falta sobre todo es la capacidad de profundizar, sopesar y contextualizar los análisis, porque tal como están las cosas, “un simple error de interpretación puede poner en duda el trabajo de los CISO”. Según él, este defecto frena usos más operativos y exige considerar estas herramientas además de otros enfoques. Esta observación la comparte Franck Mahe, para quien “los algoritmos se basan en el número de activos vulnerables, sin tener en cuenta su importancia empresarial, ni las áreas de responsabilidad en una organización, que puede ser compleja”.
Didier Fournier plantea también otros límites. Señala así la ausencia casi total hoy en día de soluciones centradas en las redes industriales u OT. También señala la dificultad de las herramientas existentes para tener en cuenta los sistemas de información híbridos. “Mirar sólo el frente público expuesto es insuficiente”, subraya, señalando de todos modos que, sobre lo expuesto, estas herramientas que van directamente a buscar fallos ahorran tiempo y “despejan” el terreno. Además, las agencias de calificación cibernética proporcionan instantáneas en un momento dado: la calificación puede cambiar al día siguiente, hacia arriba porque se ha aplicado un parche, o hacia abajo porque acaba de llegar una nueva vulnerabilidad de día cero. . “Estas herramientas no rastrean lo que se ha hecho, no tienen en cuenta nuestras acciones”, lamenta Didier Fournier.
Más transparencia en los algoritmos
Estos límites son indicativos de un mercado que aún es joven y continúa evolucionando. Didier Fournier como Frank Mahe identifican así ciertas áreas de mejora para las ofertas actuales. Para Didier Fournier, a la espera de un posible cambio en la filosofía de las herramientas para tener más en cuenta las acciones concretas adoptadas por los CISO, los diferentes editores se beneficiarían en particular de alinearse con un modelo coherente. Franck Mahe también quiere más transparencia para saber exactamente qué criterios se incluyen en la calificación y qué alcance se evalúa, así como más inteligencia humana, para ir más allá de las evaluaciones realizadas por robots. “Las empresas no saben por qué se pierden o se ganan puntos. Puede asustar a una dirección general ver que el marcador baja 30 puntos de repente, sin que los equipos hayan sido advertidos con antelación para poder remediarlo”. También señala una de las paradojas de estas herramientas, que luchan por comprender la complejidad real de las empresas: “Cuanto más simple sea un sistema de información, mejor será la puntuación, y viceversa. »
Por su parte, Nhat Truong señala que las agencias están empezando a desarrollar herramientas de cuantificación, para evaluar el impacto financiero en caso de un ataque o la probabilidad de que una empresa sea pirateada en lugar de otra. "Los análisis de big data han demostrado correlaciones entre las calificaciones y esta probabilidad", dice. Observa la evolución dentro de las empresas y señala que ciertos CISO utilizan estas soluciones de calificación como herramientas más asequibles que las plataformas CTI (inteligencia sobre amenazas cibernéticas) para analizar amenazas. También ve una tendencia cada vez mayor entre la alta dirección a interesarse por el tema y pedir sus notas, otra razón para que los CISO investiguen el tema. “Estás siendo observado. Hoy estos actores son parte del panorama de la ciberseguridad. Un CISO debe tener esto en cuenta, solicitar el presupuesto para conocer su puntuación y corregir problemas cuando la información sea relevante. »
Seguimiento de la nota a lo largo del tiempo
Todos los CISO entrevistados reconocieron la utilidad de estos ciberscores, a pesar de las diversas cuestiones planteadas. “Necesitamos que nos observen para progresar. Aunque no sean perfectas, estas soluciones nos permiten abordar puntos importantes”, afirma Nicolas Andreu.
Para Frank Mahe, estas soluciones son “un mal necesario”. Los CISO realmente no tienen otra opción, pero las notas ayudan a mejorar la seguridad cibernética de una empresa. Para Bred CISO, estas soluciones tienen el mérito de ayudar a plantear cuestiones desde un punto de vista operativo, para reorganizar, por ejemplo, la forma en que se gestionan las áreas o redefinir responsabilidades en términos de remediación. "Pueden pasar de 6 a 18 meses antes de que tengamos una puntuación que realmente represente la realidad de las cosas", afirma Frank Mahe, quien también señala que estas puntuaciones requieren un seguimiento continuo, incluso una vez que se ha alcanzado la mejor puntuación. Las calificaciones cibernéticas también pueden ayudar a obtener los recursos necesarios para solucionar los problemas identificados. El Bred CISO, por ejemplo, los utilizó para justificar la contratación de una persona adicional en su equipo.
Por último, para Didier Fournier, a pesar de los límites operativos de las soluciones actuales, “las ciberpuntuaciones se han convertido en una cuestión crucial en la cibergobernanza”. Dice estar convencido de la necesidad de contar con herramientas para evaluar la postura en materia de ciberseguridad, con el fin de “tomar la temperatura y posicionarse respecto a uno mismo”. Siempre que tengas los medios para responder. Pero las notas también pueden, cuando se usan bien, ayudar a transmitir mensajes, encontrar recursos y comunicar sobre ciberseguridad, “una cuestión crucial”, como recuerda Frank Mahe.
Otras noticias que te pueden interesar