transparencia
La vida de un jefe moderno de seguridad de la información (también conocido como CISO, director de seguridad de la información) no consiste solo en luchar contra los piratas informáticos. También es una búsqueda sin fin que se conoce con el nombre de “cumplimiento normativo”. Los reguladores siguen apretando las tuercas, las normas surgen como setas y los dolores de cabeza no hacen más que empeorar; pero espera… aún hay más: los CISO no solo son responsables de su propio perímetro, sino también de lo que ocurre fuera de él: de toda su cadena de suministro, de todos sus contratistas y de todo el revoltijo de software en el que se ejecutan sus procesos empresariales. Aunque la lógica aquí es sólida, también es, lamentablemente, implacable: si se encuentra una vulnerabilidad en el proveedor, pero los problemas te afectan a ti, al final, eres tú quien debe rendir cuentas. Esta lógica también se aplica al software de seguridad.
En el pasado, las empresas rara vez pensaban en lo que realmente contenían las soluciones y los productos de seguridad que utilizaban. Sin embargo, ahora las empresas, especialmente las grandes, quieren saber todo: ¿qué hay realmente dentro de la caja? ¿Quién escribió el código? ¿Va a romper alguna función crítica o podría incluso provocar un colapso total? (Hemos visto precedentes de este tipo; por ejemplo, el incidente de la actualización de Crowdstrike 2024). ¿Dónde y cómo se procesan los datos? Y estas son las preguntas correctas que se deben hacer.
El problema radica en el hecho de que casi todos los clientes confían en que sus proveedores responderán con precisión cuando se les plantean este tipo de preguntas, muy a menudo porque no tienen otra opción. Un enfoque más maduro en la ciberrealidad actual es verificar.
En lenguaje corporativo, esto se denomina “confianza en la cadena de suministro” y tratar de resolver este rompecabezas por tu cuenta es un verdadero dolor de cabeza. Necesitas ayuda de los proveedores. Un proveedor responsable está dispuesto a mostrar lo que hay detrás de sus soluciones, a abrir el código fuente a socios y clientes para que lo revisen y, en general, a ganarse la confianza no con bonitas presentaciones, sino con medidas sólidas y prácticas.
Entonces, ¿quién ya está haciendo esto y quién sigue anclado en el pasado? Un exhaustivo estudio nuevo realizado por nuestros colegas en Europa tiene la respuesta. La realización estuvo a cargo del prestigioso laboratorio de pruebas AV-Comparatives, la Cámara de Comercio de Tirol (WKO), la Escuela de Emprendimiento MCI y el bufete de abogados Studio Legale Tremolada.
La principal conclusión del estudio es que la era de las “cajas negras” en la ciberseguridad ha terminado. RIP. Amén. El futuro les pertenece a aquellas personas que no ocultan su código fuente ni sus informes de vulnerabilidad, y que les ofrecen a los clientes la máxima libertad de elección a la hora de configurar sus productos. Y el informe indica claramente quién no solo promete, sino que realmente cumple. ¡Adivina quién es!
¡Qué gran suposición! Sí, ¡somos nosotros!
Ofrecemos a nuestros clientes algo que, lamentablemente, sigue siendo una especie rara y en peligro de extinción en la industria: centros de transparencia, revisiones del código fuente de nuestros productos, una lista detallada de materiales de software (SBOM) y la posibilidad de consultar el historial de actualizaciones y controlar los lanzamientos. Y, por supuesto, proporcionamos todo lo que ya se ha convertido en el estándar de la industria. Puedes consultar todos los detalles en el informe completo “Transparencia y responsabilidad en materia de ciberseguridad” (TRACS) o en nuestro resumen. A continuación, explicaré algunas de las partes más interesantes.
No mezclar manzanas con naranjas
TRACS ha analizado 14 proveedores populares y sus productos EPP/EDR, desde Bitdefender y CrowdStrike hasta nuestro EDR Optimum y WithSecure. El objetivo era comprender qué proveedores no solo dicen “confíe en nosotros”, sino que permiten verificar sus afirmaciones. El estudio abarcó 60 criterios: desde el cumplimiento del RGPD (Reglamento General de Protección de Datos, al fin y al cabo se trata de un estudio europeo) y las auditorías ISO 27001 hasta la capacidad de procesar toda la telemetría localmente y acceder al código fuente de un producto. Pero los autores decidieron no otorgar puntos para cada categoría ni formar una clasificación general única.
¿Por qué? Porque todo el mundo tiene diferentes modelos de amenaza y riesgos. Lo que para uno es una función, para otro puede ser un error y un desastre. Por ejemplo, una instalación de actualizaciones rápida y completamente automática. Para una pequeña empresa o una empresa minorista con miles de pequeñas sucursales independientes, esto es una bendición: nunca tendrán suficiente personal de TI para administrar todo eso manualmente. Pero para una fábrica donde un ordenador controla la cinta transportadora sería totalmente inaceptable. Una actualización defectuosa puede paralizar una línea de producción, lo que en términos de impacto comercial podría ser fatal (o al menos peor que el reciente ciberataque a Jaguar Land Rover); en este caso, todas las actualizaciones deben someterse primero a pruebas. Lo mismo ocurre con la telemetría. Una agencia de relaciones públicas envía datos desde sus ordenadores a la nube del proveedor para participar en la detección de ciberamenazas y obtener protección al instante. Perfecto. ¿Una empresa que procesa historiales médicos de pacientes o diseños técnicos altamente clasificados en sus ordenadores? Sería necesario reconsiderar su configuración de telemetría.
Lo ideal sería que cada empresa le asignara “ponderaciones” a cada criterio y calculase su propia “calificación de compatibilidad” con los proveedores de EDR/EPP. Pero una cosa es obvia: quien ofrece opciones a los clientes, gana.
Por ejemplo, realizar un análisis de la reputación de los archivos sospechosos. Puede funcionar de dos maneras: a través de la nube común del proveedor o a través de una micronube privada dentro de una única organización. Además, existe la opción de desactivar este análisis por completo y trabajar totalmente sin conexión. Muy pocos proveedores les ofrecen a los clientes las tres opciones. Por ejemplo, el análisis de reputación “en las instalaciones” solo está disponible en ocho de los proveedores que participaron de la prueba. No hace falta decir que nosotros somos uno de ellos.
Subir el estándar
En todas las categorías de la prueba, la situación es más o menos la misma que con el servicio de reputación. Al leer detenidamente las 45 páginas del informe, o estamos por delante de nuestros competidores o entre los líderes. Y podemos afirmar con orgullo que, en aproximadamente un tercio de las categorías de comparación, ofrecemos capacidades significativamente mejores que la mayoría de nuestros competidores. Descúbrelo:
¿Visitar un centro de transparencia y revisar el código fuente? ¿Verificar que los binarios del producto se compilan a partir de este código fuente? Solo tres de los proveedores que participaron de la prueba brindan estas ventajas. Y para uno de ellos, es solo para clientes del gobierno. Nuestros centros de transparencia son los más numerosos y están más repartidos geográficamente, lo que nos permite ofrecerles a nuestros clientes la mayor variedad de opciones.
La apertura de nuestro primer centro de transparencia en 2018
¿Descargar las actualizaciones de la base de datos y volver a verificarlas? Solo seis empresas, incluidos nosotros, lo brindamos.
¿Configuración de la implementación de actualizaciones en varias etapas? No es precisamente algo poco habitual, pero tampoco está muy extendido: solo siete proveedores además de nosotros lo ofrecen.
¿Leer los resultados de una auditoría de seguridad externa de la empresa? Solo nosotros y otros seis proveedores estamos dispuestos a compartir esto con los clientes.
¿Desglosar una cadena de suministro en eslabones separados utilizando un SBOM? Esto también es poco habitual: solo se puede solicitar un SBOM a tres proveedores. Uno de ellos es la empresa de color verde que lleva mi nombre.
Por supuesto, hay categorías en las que todos obtienen buenos resultados: todos han superado con éxito una auditoría ISO/IEC 27001, cumplen con el RGPD, siguen prácticas de desarrollo seguras y aceptan informes de vulnerabilidad.
Por último, está la cuestión de los indicadores técnicos. Todos los productos que funcionan en línea envían ciertos datos técnicos sobre los ordenadores protegidos e información sobre los archivos infectados. Para muchas empresas esto no supone ningún problema, y se alegran de que mejore la eficacia de la protección. Pero para aquellos que se centran seriamente en minimizar los flujos de datos, AV-Comparatives también los mide, y resulta que nosotros recopilamos la menor cantidad de telemetría en comparación con otros proveedores.
Conclusiones prácticas
Gracias a los expertos austriacos, los CISO y sus equipos ahora tienen una tarea mucho más sencilla a la hora de comprobar a sus proveedores de seguridad. Y no solo los 14 que se sometieron a las pruebas. El mismo marco se puede aplicar a otros proveedores de soluciones de seguridad y al software en general. Pero también hay conclusiones estratégicas…
La transparencia facilita la gestión de riesgos. Si eres responsable de mantener un negocio en funcionamiento, no querrás tener que adivinar si tu herramienta de protección se convertirá en tu punto débil. Necesitas previsibilidad y responsabilidad. El estudio de WKO y AV-Comparatives confirma que nuestro modelo reduce estos riesgos y los hace manejables.
Evidencia en lugar de eslóganes. En este negocio, no basta con escribir “somos seguros” en tu sitio web. Necesitas mecanismos de auditoría. El cliente tiene que poder acercarse y comprobar las cosas por sí mismo. Nosotros lo proporcionamos. Otros aún están poniéndose al día.
La transparencia y la madurez van de la mano. Los proveedores que son transparentes para sus clientes generalmente también tienen procesos más maduros para el desarrollo de productos, la respuesta ante incidentes y el manejo de vulnerabilidades. Sus productos y servicios son más fiables.
Nuestro enfoque de la transparencia (GTI) funciona. Cuando anunciamos nuestra iniciativa hace varios años y abrimos centros de transparencia en todo el mundo, escuchamos todo tipo de críticas, como que era una pérdida de dinero y que nadie lo necesitaba. Ahora, los expertos europeos independientes están diciendo que así es como debería funcionar un proveedor a partir de 2025.
Ha sido un verdadero placer leer este informe. No solo porque nos elogia, sino porque la industria finalmente está girando en la dirección correcta, hacia la transparencia y la responsabilidad.
Comenzamos esta tendencia, la estamos liderando y vamos a seguir siendo pioneros en ella. Así que, queridos lectores y usuarios, no lo olviden: la confianza es importante, pero la verificación completa marca la diferencia.
Consejos