Pasar al contenido principal

Security Rating Services (SRS)

¿Qué son los SRS?

Son evaluaciones de seguridad basadas en la información pública expuesta de una organización, sin utilizar tecnologías intrusivas. La actividad de estos servicios consiste en analizar los activos digitales, de cara al público, de una organización para darles una puntuación, basada en las propias metodologías de cada proveedor, que representa el nivel de seguridad de dicha organización. El origen de estas fuentes va desde direcciones IP accesibles desde internet, a honeypots (sistemas informáticos que simulan ser un objetivo para atraer ciberataques, un señuelo, de forma que se utilizan los intentos de intrusión para obtener información sobre los cibercriminales y la forma en que operan o para distraerlos de otros objetivos), o a analizar el contenido en la deep y la dark web.

¿Qué beneficios aportan estos servicios?

Gestionar los riesgos de ciberseguridad hoy en día es una tarea complicada si partimos de la base de que cualquier sistema puede ser atacado tras encontrar vulnerabilidades en el mismo. Además, todo el proceso de transformación digital actual provoca que la superficie de riesgo de los negocios aumente, creando nuevas amenazas y aumentando la posibilidad de sufrir ciberataques o fugas de información.

Aquí es donde las clasificaciones de seguridad pueden ser de ayuda, ya que ofrecen una evaluación continua y actualizada de la superficie de ataque potencial a una empresa, mientras se ofrece toda esta información de una manera sencilla, sin la necesidad de que la persona que los consulte tenga unos conocimientos técnicos muy profundos.

Por otra parte, proporcionan una medición diaria del desempeño de seguridad de una organización, permitiendo monitorizar los resultados, evaluar si las medidas llevadas a cabo han sido satisfactorias y comparar los avances a lo largo del tiempo

¿Cómo elegir un proveedor de SRS?

No todos los proveedores son igual de efectivos para determinar el riesgo de una empresa. Cada uno tiene sus propios datos, metodología, red y opciones de servicio. Para tomar una decisión acertada, es necesario comprender cómo funcionan las calificaciones de seguridad, que podemos resumir en cuatro puntos:

  1. Calidad de los datos. No se trata solo de la cantidad de datos que se procesen, lo realmente importante es la atribución de esos datos a organizaciones únicas. Habrá proveedores que pueden absorber gran cantidad de datos, pero no tienen los recursos, procesos o conocimientos necesarios para asignar esos datos a entidades con precisión. Otra característica importante a tener en cuenta para sopesar la calidad de los datos es la duración del historial de calificaciones, para evaluar con precisión el desempeño relativo a ciberseguridad de una organización, deben poder estudiarse los datos a lo largo del tiempo.
  2. Es importante contar con las opiniones de los usuarios y clientes. En cualquier plataforma de clasificación de seguridad, los usuarios finales deben poder verificar los resultados de su propia organización y sus proveedores, así como señalar errores.
  3. Conocimientos sobre detección de fugas y filtraciones de datos. Que el proveedor tenga una tecnología que permita detectar credenciales filtradas y datos expuestos.
  4. Experiencia de usuario. Los proveedores de SRS pueden diferenciarse por la facilidad de uso de su software, los métodos por los que ofrecen sus calificaciones de seguridad y la calidad de su servicio al cliente. El diseño y la experiencia del usuario de la plataforma pueden afectar el valor que se tiene de ella. Es importante probar la interfaz de varias plataformas antes de elegir el proveedor de calificaciones de seguridad, que sea intuitiva, sencilla de usar y consultar.

¿Dónde recibir asesoramiento o contratar un servicio SRS?

Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.

Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan. 

BCSC Libro Blanco