Las clasificaciones de seguridad son una fantasía peligrosa



No predicen las infracciones y no ayudan a las personas a tomar decisiones comerciales valiosas ni a hacer que los usuarios estén más seguros.

A los profesionales de seguridad no les gustan las clasificaciones de seguridad, también conocidas como puntajes de riesgo de ciberseguridad. En parte, esto se debe a que a la gente no le gusta que la critiquen. Pero principalmente se debe a que las clasificaciones de seguridad no funcionan y no pueden funcionar como se conciben y venden actualmente. La industria es una fachada de internet marketing. Las clasificaciones de seguridad no predicen infracciones ni ayudan a las personas a tomar decisiones comerciales valiosas ni a hacer que nadie esté más seguro.

¿Por qué las calificaciones de seguridad son tan malas? Para empezar, los datos son terribles. La calidad de las calificaciones de seguridad depende de la calidad de los datos subyacentes y de la ciencia con la que se interpretan estos datos. Desafortunadamente, la industria de calificaciones de ciberseguridad no tiene ni cerca de la profundidad y amplitud de datos de otros sectores de calificaciones.

Las compañías de clasificación de seguridad no tienen mapas de crimson precisos, y las clasificaciones se desinflan regularmente debido a la mala asignación o la comprensión inadecuada de las configuraciones de red. Las compañías de calificación de seguridad generalmente usan datos de terceros incompletos y no comunican advertencias o estimaciones de mistake a sus clientes.

Para cuando los lea, las clasificaciones de seguridad ya no están actualizadas, porque los datos no se actualizan rápidamente y las marcas de tiempo de actualización no se comunican claramente.

Otro desafío es que las calificaciones no son científicas o estadísticamente relevantes. Dados esos problemas, los proveedores comprometidos con un producto de calificación no tienen más remedio que hackear su camino hacia una solución parcial. Las soluciones parciales se manifiestan en una ponderación subjetiva de múltiples factores que casi nunca se alinearán perfectamente con las prioridades de seguridad reales.

Las calificaciones son lo que los gerentes de productos quieren que sean, y no se basan en estándares o ciencia de riesgos. Las calificaciones tampoco tienen sentido para la gran mayoría de las empresas, que son redes pequeñas, administradas por terceros, cada vez más alojadas en la nube con una pequeña superficie de ataque a Net.

Las calificaciones de seguridad de hoy no pueden decirnos qué es lo que más le importa (o menos) Los peores incidentes cibernéticos son eventos grandes e impredecibles como incendios forestales. Es por eso que estos proveedores proporcionan calificaciones subjetivas, no probabilidades.

Debido a que las calificaciones de seguridad no son confiables, las compañías no pueden usarlas para tomar decisiones comerciales importantes o impulsar resultados de seguridad.

¿Qué sería mejor que las calificaciones?
Primero, las grandes empresas y las agencias gubernamentales pueden subsidiar la seguridad cibernética posterior, utilizando inteligencia de amenazas y programas de intercambio de información para beneficiar a las pequeñas y medianas empresas que no pueden pagar los programas de seguridad completos. Una parte clave de dicha iniciativa debe incluir el intercambio de información en el sector Probablemente no sea un secreto cuál de los proveedores que comparten información tiene problemas técnicos regulares.

En segundo lugar, las asociaciones de evaluación de riesgos pueden atravesar los niveles de la pila de seguridad para correlacionar los datos de los puntos finales, la actividad de la red interna y los datos públicos de World wide web para evaluar más exhaustivamente la postura de una organización. Una perspectiva compartida precisa sobre el estado de la ciberseguridad requiere la aceptación de los fabricantes de productos locales y de pink y / o las propias organizaciones evaluadas.

¿Por qué las clasificaciones son peligrosas?
Las compañías de calificación han distorsionado la realidad en aras de una ventaja de mercado barata y miope. Estas distorsiones tienen el potencial de asignar recursos valiosos y escasos, como horas de trabajo y dólares expertos para tecnología.

Si realmente queremos mejorar la ciberseguridad y la seguridad en World-wide-web, entonces tenemos que comenzar con una comprensión común de los problemas, y luego construir soluciones tecnológicas y de procesos. Reducir la complejidad y los matices de una práctica altamente técnica a un número redondo o una calificación de letra nos aleja más de la realidad, creando una distracción desagradable de aquellos de nosotros que todavía vivimos en ella.

Contenido relacionado:

El Dr. Tim Junio ​​es cofundador y CEO de Expanse, una compañía de software package con sede en San Francisco. Tiene más de una década de experiencia en operaciones cibernéticas y sensores distribuidos a gran escala. Antes de co-fundar Expanse, trabajó en DARPA, RAND Company, Business office of the Secretary … Ver biografía completa

Más strategies





Enlace a la noticia original