¿Qué labor realiza una agencia de calificación en el mundo de la ciberseguridad?

Aunque trabaje en este ámbito, soy economista. Me di cuenta de que también en este contexto era aplicable lo que hacen las agencias de rating. Cogemos un servicio y calificamos su nivel de seguridad del uno al cinco, pero con letras, donde A+ es la mejor nota y D, la peor. Al final se trata de establecer un mecanismo, una especie de lenguaje para que las empresas entiendan de manera fácil y rápida el nivel de seguridad que ofrecen sus proveedores.

Pues la que liaron las agencias de rating. ¿Por qué fiarnos de la calificación que dan ustedes?

Aprendimos de aquello y dedicamos mucho esfuerzo. Cuando nacimos, hace ocho años y medio, las agencias de calificación no eran el mejor ejemplo. La diferencia estriba en que no son transparentes, no revelan cómo calculan la nota, así que decidimos publicar en nuestra web la guía de calificación para que cualquiera pueda saber con exactitud por qué decimos que alguien tiene una A o una B; somos completamente transparentes.

¿Qué parámetros miden?

Catorce aspectos como el sistema de gestión, cómo operan los sistemas, dónde los tienen instalados, qué mecanismos de protección emplean para asegurarse de que lo que desarrollan no tienen vulnerabilidades, cómo controlan los accesos, cómo tienen protegidas las redes, cómo cifran la información... Se trata de una evaluación muy extensa con 340 parámetros en total.

¿Y qué resultado publican?

Lo traducimos a tres, llamémoslas, asignaturas: confidencialidad, integridad y disponibilidad. Lo hacemos así porque al final los usuarios pueden tener necesidades muy distintas. Por ejemplo, en un peaje si el sistema no está disponible no pueden pasar coches, pero la confidencialidad no es lo más importante; sin embargo, en un hospital la información es muy sensible.

¿Y quién paga?

El proveedor de servicios de seguridad, igual que el hotel se somete a evaluación para saber cuántas estrellas tiene.

¿Y si suspende?

Cobramos por el examen, no por la nota, del mismo modo que ocurre con el carné de conducir. Ponemos a disposición de todo el mundo una herramienta de autoevaluación en nuestra web que les permite conocer su situación. De ese modo, solo cuando estén confortables con su nota se presentan al examen.

¿Cuál es el nivel de ciberseguridad en el país?

Hay una preocupación importante por la ciberseguridad y el Estado es de los más avanzados en sus propuestas. Si tenemos que definirnos, estamos en la cabecera, muy lejos del vagón de cola.

¿En qué se flaquea más?

En el trabajo diario. La seguridad no se compra, sino que se hace día a día. Hay que observar si los sistemas están dejando pistas y trabajar sobre ellas para saber si hay un ataque incipiente. Esa parte de intentar adelantarnos al problema es lo que más cuesta, la monitorización.

¿Los malos van por delante?

Hay que trabajar siempre con el concepto de que te va a pasar algo, y hay que estar preparado para responder. Hay gente que está de nueve de la mañana a cinco de la tarde atacando a otros, como un trabajo cualquiera. En los patrones se observa la hora a la que arrancan y paran. Hay auténticas bandas organizadas.

¿Qué buscan?

Dinero. Hay robos de propiedad intelectual, pero son menos sonados, no tan habituales y acaban en lo mismo; los malos buscan pasta.