La agencia calificadora evaluará la propensión de las grandes organizaciones a sufrir incidentes de seguridad de la información
Un robo de datos, dependiendo de la magnitud del incidente, y sus correspondientes multas o infracciones, podría provocar la desaparición de una organización, comentan expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética.
Moody’s, la agencia calificadora de inversiones, anunció recientemente la inclusión de los riesgos de ciberseguridad para su proceso de calificaciones de crédito, proceso a través del cual serán comparados los riesgos de robos de datos masivos que una organización podría enfrentar. Esta medida no pudo llegar en mejor momento, y se mantienen expectación sobre el papel que la calificadora pueda desempeñar.
En esta nueva misión será fundamental para Moody’s crear un sistema que recopile datos completos y confiables, incluyendo información tomada de las propias compañías, así como de fuentes externas.
Acorde a expertos en seguridad en redes, hay dos métodos para obtener esta información. En primer lugar, la calificadora puede recurrir a los datos de proveedores externos que realicen evaluaciones de ciberseguridad. Como segundo método de recopilación de información, están los datos resguardados por las propias empresas, obtenidos a través de herramientas y monitoreo interno.
Los datos externos serán más valiosos para algunas empresas que para otras. Una gran cadena de minoristas, por ejemplo, con una presencia importante en el mercado, será más propensa a abarcar una mayor superficie de ciberataques.
En un mundo ideal, Moody’s podría exigir a las compañías cualquier información interna que necesite como parte de su alcance de trabajo. Aunque en la práctica, no hay garantía de que una compañía proporcione una imagen completa de sus operaciones. Una compañía podría negar el acceso de Moody’s a cierta información debido a sus propias políticas de seguridad.
Sin embargo, Moody’s debe solventar estas limitantes con creatividad. Los datos externos proporcionan cobertura para un segmento crucial de la red de una empresa y sirven para verificar la posibilidad de que ésta no esté brindando información clara y completa a la calificadora. Por su parte, la información interna es la principal fuente de información detallada de una compañía.
El próximo desafío para Moody’s será desarrollar esas fuentes de datos, pues se originarán de múltiples fuentes trabajando con diferentes conceptos y formatos que no necesariamente son consistentes entre sí, por lo que la unificación de criterios para analizar los riesgos cibernéticos en organizaciones de diferentes ramos será fundamental para Moody’s, consideran expertos en seguridad en redes.
Finalmente, la calidad de la información que Moody’s pueda recopilar tendrá un impacto directo en la calidad de sus calificaciones. Si Moody’s puede construir una plataforma que integra los datos de los proveedores internos y externos, podrá crear una calificación confiable mucho más rápido y de manera más fiable.
Para muchos expertos en campos como las finanzas o la ciberseguridad, la decisión de Moody’s no pudo llegar en un mejor momento. Hemos llegado al punto en el que ya no nos sorprenden los incidentes de violaciones masivas de datos, por lo que es necesario que las organizaciones consideren las consecuencias que un incidente de esta magnitud puede generar.
0 comments:
Post a Comment