Etiquetas para medir el nivel de seguridad informático de un servicio, el reto más próximo de la ciberseguridad
Ya existen agencias de certificación de ciberseguridad que analizan el servicio digital que ofrece una empresa y valoran lo seguro que es ante posible hackeos
En la Ciberguarida: Etiquetas para medir el nivel de seguridad informático de un servicio, el reto más próximo de la ciberseguridad.(13/12/2022)
13:12
Compartir
El código iframe se ha copiado en el portapapeles
<iframe src="https://cadenaser.com/embed/audio/460/1670920102465/" width="100%" height="360" frameborder="0" allowfullscreen></iframe>
Fuenlabrada
En la actualidad no es obligatorio que una empresa certifique que el servicio que presta a otras en el ámbito cibernético tenga un adecuado nivel de ciberseguridad. Se supone, pero no hay necesidad de una calificación oficial. No obstante, en esa dirección se está trabajando desde la UE y ya existen agencias de certificación de ciberseguridad. Antonio Ramos, CEO de Leet Security, una de estas agencias explica en qué consiste este trabajo. “Lo que hacemos es calificar el nivel de seguridad de las compañías que se apoyan en sistemas informáticos para ofrecer diferentes servicios”, afirma para precisar que a esto le llaman “calificaciones. Es donde se indican los niveles de seguridad de la empresa en cuestión, “es como poner nota a cuánto de seguro es un servicio”.
Y esta certificación se puede realizar en un ámbito empresarial muy amplio. Desde una app que usamos en la nube para darnos servicio de almacenamiento de información, hasta cualquier tipo de servicios que podamos pensar, más allá de lo tecnológico. “Hoy en día casi todo se sustenta en equipos informáticos. Por ejemplo, un despacho de abogados que te lleva un caso, aloja tus datos y tu caso en un ordenador. Ahí es muy importante también ver qué nivel de seguridad tiene”, afirma Ramos.
De hecho, cuenta que ya se está trabajando en la UE en directivas en el campo de la ciberseguridad, encaminadas a garantizarla en la cadena de suministro. “Igual que hay que pasar la ITV del coche porque es potencialmente peligroso manejar un vehículo que no está en condiciones de circular, los que manejamos sistemas de información para dar servicio a los clientes, también tenemos que pasar unas pequeñas revisiones para garantizar que esos medios informáticos no son potencialmente peligrosos, ni para nuestros clientes, ni para nosotros”.
Etiquetas de Ciberseguridad de la A+ a la D
Ramos asegura que su agencia se limita a medir el nivel de seguridad y es cada usuario quien debe decidir cuanta seguridad necesita. “Nosotros no somos quién para decidirlo, sólo le aportamos la información necesaria para que decida en función de su producto”, indica. Así, emulando a las etiquetas de eficiencia energética, distinguen diferentes calificaciones, de A+ a la D.
En la mínima, se miden aspectos fundamentales, como que los servicios ofrecidos tengan un mínimo de control de acceso, ver si el sistema ‘se cae’, si son capaces de ‘levantarlo’ en un día, que tengan antivirus..., lo más básico. Y en A+ “es como intentar vulnerar los servicios de la CIA, pedimos de todo. Cifrado, doble factor de autenticación, dos centros de procesamiento de datos que funcionen alternativamente a más de 20 kilómetros de distancia uno del otro. El A+ está reservado a cosas muy muy concretas. De hecho, de los clientes que tenemos lo máximo que alcanzan es el nivel A y un par de ellos están cerca de conseguir el A+ para la parte de disponibilidad. Tener un nivel C es muy razonable”, cuenta este experto.
No es obligatorio tener una certificación, aunque si recomendable. El que una empresa externa certifique que el servicio prestado por una compañía es ciberseguro “se convierte en un elemento más de garantía”, considera Ramos. Es un camino que ya se está andando, hasta que por ley, en un futuro, quizá no muy lejano, sea de obligado cumplimiento.
