Las calificaciones de seguridad y confianza proliferan: ¿es eso un …



Clasificaciones de phishing, clasificaciones de seguridad, clasificaciones de humanidad: estamos ante un futuro lleno de grados de seguridad y confiabilidad. Pero hay un inconveniente.

Los sistemas de calificación para ayudar a las empresas a tomar decisiones están en todas partes: los puntajes de crédito determinan si una persona puede obtener un préstamo y a qué tasa de interés, los puntajes en los exámenes estandarizados pueden determinar a qué universidad puede asistir un estudiante, y una variedad de puntajes de los consumidores pueden determinar el éxito de un producto o fracaso

El mundo de la seguridad de la información está ganando rápidamente sus propios conjuntos de sistemas de puntuación. La semana pasada, NortonLifeLock anunció un proyecto de investigación que determinará si es probable que las cuentas de Twitter pertenezcan a un humano o un bot. Las compañías de concientización de seguridad como KnowBe4 e Infosec asignan calificaciones a los trabajadores por su desempeño en simulaciones de phishing y el riesgo que pueden representar para su empleador. Y compañías como BitSight y SecurityScorecard califican a las compañías que usan indicadores externos de seguridad y posibles infracciones.

Las empresas buscarán cada vez más puntajes para evaluar el riesgo de asociarse con otra empresa o incluso contratar a un trabajador. El puntaje de seguridad de un ciberseguro de una empresa podría determinar su prima de ciberseguro o si un cliente más grande trabajará con la empresa, dice Stephen Boyer, CEO de BitSight, una firma de calificación de seguridad.

«Muchos de nuestros clientes no se involucrarán con un proveedor por debajo de un cierto umbral porque tienen una cierta tolerancia al riesgo», dice. «Las decisiones comerciales se están tomando absolutamente sobre esto».

A medida que las empresas buscan formas de limitar el riesgo de incumplimiento, los puntajes de seguridad que combinan muchos factores y fuentes en un solo puntaje, o conjunto de puntajes, se están volviendo cada vez más comunes, no solo como una forma de rastrear la seguridad interna, sino como una forma de cuantificar riesgo al que terceros pueden exponer un negocio y calificar la confiabilidad de la información que se encuentra en línea. Las calificaciones de seguridad y confianza prometen brindar a las personas y a las empresas una manera fácil de evaluar rápidamente el riesgo o la eficacia de casi cualquier cosa, desde productos hasta personas y desde servicios hasta información.

La semana pasada, por ejemplo, dos investigadores de la empresa de ciberseguridad NortonLifeLock lanzaron una herramienta llamada BotSight (que no debe confundirse con BitSight) que califica las cuentas de Twitter sobre si es probable que pertenezcan a un ser humano authentic o sean administrados por un programa automatizado o bot . Una gran cantidad de investigación se centró en las mejores formas de reducir más de 20 indicadores diferentes en un solo puntaje, dice Petros Efstathopoulos, jefe international del Grupo de Investigación NortonLifeLock (NRG).

«A menudo necesitamos simplificar la información o los datos complejos para que los consumidores puedan acceder a ellos y ayudarlos a tomar las decisiones correctas, esta es una tarea difícil», dice. «Las métricas y clasificaciones simplificadas son posibles, pero hay que tener mucho cuidado al elaborarlas, para evitar declaraciones engañosas y demasiado simplificadas que dañarán, en lugar de mejorar, la postura de seguridad general de uno».

Por supuesto, reducir una plétora de factores complejos a un solo número o grado de letra puede perder detalles significativos. En algunos casos, el sistema de puntuación puede no capturar el entorno en el que se encuentran los trabajadores. En un ejemplo, KnowBe4 tenía un cliente con un departamento que siempre terminaba abriendo archivos adjuntos maliciosos. Cuando la compañía analizó por qué, descubrió que el grupo había perdido a un puñado de personas y se encontraba con poco personal, por lo que estaba reclutando. Y eso significaba abrir archivos adjuntos de currículum.

«Lo peor que alguien puede hacer es mirar un puntaje … de forma aislada o ignorante», dice Perry Carpenter, evangelista jefe y oficial de estrategia de KnowBe4. «Porque una de las cosas interesantes que sale a la luz cuando las personas hacen lo que hacen, es si se les coloca en una situación de no ganar».

También pueden surgir otros problemas. Cada vez que se califica algo, los humanos y las empresas intentarán mejorar su puntaje con el menor esfuerzo posible. Existen numerosos cursos para ayudar a los solicitantes de universidades a mejorar sus puntajes SAT o ACT. Los fabricantes de chips gráficos modificaron sus controladores para obtener mejores resultados en las pruebas de referencia. Y las firmas antivirus mantuvieron definiciones antiguas en sus productos para obtener buenos resultados en las pruebas de referencia de seguridad.

El creador de dichos sistemas de puntuación debe centrarse en garantizar que las puntuaciones más altas realmente signifiquen, por ejemplo, una mejor seguridad, dice Boyer de BitSight.

«Una de las críticas de nuestro espacio es que las empresas dedicarán tiempo al 50% de los problemas de seguridad que nosotros (BitSight) podemos ver, mientras que el otro 50% puede ser más crítico», dice. «Y esa es una crítica muy justa, por eso hablamos de que es un puntaje de seguridad, no un puntaje de riesgo, porque solo ellos entienden el riesgo».

Tal enfoque a veces puede afectar a los equipos de seguridad que abordan vulnerabilidades basadas en el rango del Sistema de puntuación de vulnerabilidad común (CVSS). Dependiendo del activo de TI involucrado, una falla de alto puntaje puede no ser explotable y una vulnerabilidad de bajo puntaje puede ser una debilidad crítica.

Siempre y cuando el usuario de cualquier sistema de puntuación en particular tenga en cuenta los posibles problemas con el sistema, pueden ser muy beneficiosos, especialmente como una forma de comparar relativamente mejoras en la seguridad o debilidades emergentes, dice Carpenter de KnowBe4.

«Creo que los puntajes pueden ser interesantes, especialmente si los usas para ver cuáles son tus promedios en diferentes partes de la organización», dice. «Si el equipo de internet marketing tiene un puntaje de riesgo consistentemente más alto, por ejemplo, entonces hay una conversación que probablemente deba tener».

Contenido relacionado:

Revisa El borde, La nueva sección de Dark Reading through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Enjoyment Biz está cambiando, pero el script de ciberseguridad es uno que hemos leído antes«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Looking through, MIT&#39s Technological know-how Assessment, Well-known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más tips





Enlace a la noticia unique