Reflexiones sobre ratings digitales y cuestionarios: una combinación insuficiente.

Hemos acudido a un foro y encontrado este comentario (ver la imagen de arriba) sobre los ratings digitales que nos ha llevado a la reflexión.
Recientemente, en el IT GRC Forum, Chris Poulin, Director de tecnología y estrategia de Bitsight, proponía el uso de cuestionarios para complementar los resultados de sus calificaciones de ciberseguridad: “El uso de un sistema de calificación de seguridad como Bitsight no excluye el envío de cuestionarios a los proveedores basados en NIST CSF (o cualquier otro marco de ciberseguridad). Los dos deben validarse mutuamente, favoreciendo la evidencia observacional directa sobre la auto evaluación”.
Pero ni siquiera la suma de ambos es suficiente para obtener un resultado fiable.
Usar un rating digital, como lo es Bitsight, para evaluar una compañía o servicio tiene grandes carencias, aunque se complemente con cuestionarios, dado que sólo pueden chequear desde el exterior. Está en la propia naturaleza de este tipo de ratings. Es como evaluar la seguridad de un edificio sin entrar en él, sólo observándolo desde fuera. De esta forma, las áreas que pueden ser evaluadas están limitadas a que sean accesibles desde el perímetro. Eso deja fuera, por ejemplo, chequear si existen protocolos activos de renovación de contraseñas, si las copias de seguridad están en una ubicación no accesible desde la red principal o si hay controles de acceso de personal a áreas protegidas, entre otras.
Además del alcance limitado de este tipo de calificaciones, la validación propuesta es a través de cuestionarios. todos sabemos que los cuestionarios se responden casi siempre de manera afirmativa. No aportan fiabilidad, lo hacen las auditorías de terceros independientes. Los cuestionarios son útiles, pero tienen un uso condicionado, necesitan una validación posterior y no se puede fundamentar una calificación de ciberseguridad sobre ellos.
Por eso, la alternativa es una calificación de ciberseguridad que se basa en auditorías, con un método exhaustivo, riguroso y fiable para determinar el nivel de ciberseguridad, y basado en una metodología que se alimenta de normativas internacionales y de estándares y buenas prácticas ampliamente utilizadas. El rating digital lo usamos como un complemento de la calificación.
Por eso, la calificación de LEET Security es The Ultimate Cybersecurity Rating. Así de claro.

All you need is LEET! 

Recibe nuestras notificaciones desde este enlace