Rating as a Service o la ciberseguridad como indicador clave de desempeño
Vectores de riesgo como la configuración de los sistemas, amenazas asociadas, comportamiento de los usuarios y divulgación establecen la posición pública de una organización y áreas a mejorar.
La ciberseguridad es una obligación para las empresas en un mundo cada vez más conectado. Pero también puede convertirse en uno de sus indicadores clave de desempeño de cara a los demás, de la mano del Rating as a Service.
Los clientes comparan las calificaciones de distintos proveedores y acaban eligiendo la alternativa de menos riesgo.
“Debemos pensar cuál es la imagen que podemos y queremos dar. Al igual que hay aplicaciones que puntúan a personas o ‘influencers’, también existen indicadores a escala corporativa que miden el desempeño de las organizaciones en materia de ciberseguridad. Todos tenemos un ‘rating’”, explica Joseba Enjuto, responsable del área de Consultoría de S21sec.
“Ya tenemos una legislación como el Reglamento General de Protección de Datos en el que las empresas tienen que seleccionar a priori tecnologías que les ofrezcan”, recuerda, “en este caso, protección de datos personales, y una de las garantías relacionadas con la protección de datos personales es la ciberseguridad”.
También se puede valorar a los CISOs con el rating como KPI. Estos profesionales incluso se pueden evaluar a sí mismos empleando rating pasado como base sobre la que mejorar.
S21sec explica que, para funcionar como KPI corporativo, debe poder automatizarse, garantizar la validez de los datos a través de socios, aportar valor, integrar la visión de riesgo, facilitar decisiones y contribuir a la acción de las personas hacia una mejora del rating.
“Una organización puede inventarse su propio rating, aunque su credibilidad será menor si ese dato lo crean las propias empresas antes que un tercero”, señala Joseba Enjuto.
A la hora de hacer el cálculo, el rating tendrá en consideración vectores de riesgo que contemplen la configuración de los sistemas de información respecto a internet, las amenazas asociadas a la organización, el comportamiento de los usuarios y la divulgación pública.
“Estos vectores”, termina Enjuto, “además de indicar cuál es la posición pública de la organización en materia de ciberseguridad, también indican las áreas en las que pueden y han de mejorar”.