Qué significa R-Score como iniciativa educativa público-privada

HYCU, junto con socios clave del sector de la seguridad, socios de soluciones y el mundo académico, presentó R-Score.

R-Score representa una herramienta de evaluación pionera en su clase que puntúa la preparación de una organización para recuperarse del ransomware de forma similar a como Fair e Isaac establecieron el sistema de puntuación FICO hace más de treinta años. Hablamos con Kevin Powers, JD, que es el Fundador y Director de los Programas de Postgrado en Ciberseguridad del Boston College y Afiliado de Investigación en Ciberseguridad de la Escuela de Gestión Sloan del MIT (CAMS) para saber más sobre por qué es tan crítico estar lo mejor preparado y listo para recuperarse en caso de un ataque de ransomware.

Q: ¿Por qué R-Score es una iniciativa interesante?

KP: Lo que realmente despertó mi interés al principio fue la oportunidad de contar con una verdadera colaboración entre la industria privada, el gobierno y el mundo académico para desarrollar un recurso público y gratuito para hacer frente a las ciberamenazas a las que nos enfrentamos hoy en día, en concreto el ransomware.

En el Boston College, a través de nuestros programas de postgrado en Ciberseguridad y Seguridad Nacional y también de mi trabajo en el MIT como investigador afiliado, hemos estado trabajando con el gobierno, así como con la industria privada y el mundo académico para tratar de aportar ideas que permitan reunir a todos en la sala para hacer frente a estas amenazas cibernéticas con el fin de ayudar a las organizaciones a proteger sus operaciones comerciales y sus datos.

Y eso es exactamente lo que hicimos con R-Score. Similar a la Conferencia de Boston sobre Ciberseguridad, que es un evento que organizamos conjuntamente en el Boston College con el FBI, donde reunimos a altos ejecutivos de todas las industrias y sectores gubernamentales para escuchar a los principales expertos y profesionales en ciberseguridad con el fin de discutir las mejores prácticas para hacer frente a los problemas actuales.

Ha visto una serie de iniciativas procedentes de diversos grupos e industrias. Recientemente, el presidente Biden convocó una cumbre de líderes del sector privado y de la educación para discutir el esfuerzo de todo el país que se necesita para hacer frente al aumento de las amenazas de ciberseguridad, incluidas las amenazas de ransomware. Para combatir estas amenazas, tenemos que trabajar juntos. No podría estar más de acuerdo, lo que se necesita es un enfoque de todos. Eso es lo que me entusiasmó de R-Score y por lo que estoy tan contento de participar en esta iniciativa.

P: ¿Dónde ve algunos de los casos de uso o aplicabilidad a corto plazo de R-Score?

KP: Creo que desde el principio, para organizaciones privadas y gubernamentales -locales, estatales y federales-, R-Score ofrece una herramienta fácil de usar que le proporciona un panel de control fácil de seguir que responde a las preguntas clave para cualquier organización en lo que respecta al ransomware - "¿Dónde estoy ahora? Si me atacara un ransomware hoy, ¿con qué rapidez puedo recuperarme y volver a estar operativo?". Esa información por sí sola pone a la mayoría de las organizaciones por delante de la curva. Desde la perspectiva de los casos de uso, tiene una poderosa aplicación. Si, por ejemplo, estoy en la dirección de un consejo o si soy un alto ejecutivo, puedo mirarlo y decir: "Basándonos en nuestro R-Score, tenemos que abordar este problema ahora". O, "Parece que estamos bien, pero tenemos que mejorar nuestra capacidad para defendernos y mitigar un ataque y así es como podemos hacerlo", basándonos en los datos que nos proporciona R-Score.

P: Sabemos que usted trabaja mucho en el sector y también con empresas privadas. Así que, ¿dónde lo ve usted en cuanto a un debate a nivel de la junta directiva en este momento?

KP: Esto se está convirtiendo cada vez más en una conversación a nivel de la junta directiva y lo ha sido desde hace tiempo. Cuando empezamos nuestro programa en el Boston College (y sigue siendo así hoy en día), la idea era salvar la brecha de comunicación entre el departamento de TI y los ejecutivos de alto nivel y el consejo de administración. Ahí sigue habiendo una desconexión. Los CISO tienen su trabajo. Hacen un gran trabajo, por cierto, pero sigue siendo cuestión de comunicación. A veces los CISO no saben qué presentar a la junta, o lo saben pero no lo hacen de una manera que sea fácilmente digerible. Entonces tienes a los miembros de la junta y a los altos ejecutivos diciendo: "Oye, entiendo la amenaza de la ciberseguridad", pero entonces se ve como una cuestión de TI. Llevo tiempo diciéndolo: "La ciberseguridad no es una cuestión de tecnología. En realidad es una cuestión de negocio, de gestión de riesgos empresariales que debe gestionarse de arriba abajo, no de abajo arriba". Realmente tenemos que conseguir una mejor forma de comunicarnos a ambos niveles, desde el departamento de TI hasta los altos ejecutivos, pasando por la Junta Directiva y por toda la empresa.

Independientemente de si se encuentra en la C-suite, en una junta directiva o gestionando una unidad de negocio o de TI, creo que R-Score le proporciona una forma sencilla de obtener una visión fácilmente digerible y no técnica de su estado actual en lo que respecta a la protección de sus operaciones de negocio y datos sensibles frente a un ataque de ransomware. Como tal, una vez que vea su puntuación, podrá tomar las medidas necesarias para mejorar su postura de ciberseguridad.

P: ¿Dónde pueden los lectores obtener más información sobre los temas en los que se están centrando y los eventos que realizarán en los próximos meses?

KP: Bueno, vamos a iniciar el año académico con el primero de nuestros "seminarios web sobre ciberseguridad y seguridad nacional" en el Boston College el 16 de septiembre. El seminario web se centra en "Gestión de riesgos de ciberseguridad: Planificación, Respuesta, Mitigación y Recuperación del Ransomware" y nuestros panelistas son: Agente Especial Supervisor Doug Domin, Escuadrón Cibernético Criminal con el FBI - División de Boston, y Simon Taylor, el CEO y Fundador de HYCU, Inc. Sin duda, el ransomware será un tema clave de debate. Encontrará más información en nuestra página web www.bc.edu/mscybersecurity

También se ha hablado mucho y hay mucho interés en la seguridad en la nube y nos estamos centrando, en el aula y a través de nuestra serie de seminarios web, en ello. La gente piensa: "Oh, voy a mover todo a la nube y estamos bien. Reducimos el riesgo. Reducimos el coste". Bueno, sí reduces ambas cosas, pero la responsabilidad se queda contigo y hay muchas cosas que tienen lugar cuando pasas de una red a la nube. Hay que tener en cuenta una serie de cosas: ¿Cómo se configura? ¿Cómo lo gestiona? ¿Quién guarda los datos por usted? ¿Cuáles son las ramificaciones contractuales? Y luego todo se reduce a que la gente piense: "Eh, está en la nube. Tenemos una copia de seguridad, ¿verdad?". Ese no es típicamente el caso.

Usted mira cualquiera de los avisos y orientaciones procedentes del gobierno federal, ya sea FBI, CISA, FTC, entre otros, y comienzan con "haga una copia de seguridad de sus datos". Pienso en 2017 en nuestra primera Conferencia de Boston sobre Seguridad Cibernética, cuando tuvimos al Director del FBI Comey como orador principal de la Conferencia. Uno de sus principales consejos para los asistentes fue "haga una copia de seguridad de sus datos". Sin duda, hacer copias de seguridad de sus datos es una pieza crítica del rompecabezas.

También estaré presentando en la Escuela de Administración Sloan del MIT el 24 de septiembre con Simon Taylor. Se trata de un evento virtual en el que hablaremos sobre estrategias de recuperación de ransomware.

Y, por supuesto, queda un poco lejos, pero ya estamos planificando la 6ª Conferencia Anual de Boston sobre Seguridad Cibernética (BCCS 2022), prevista para el 2 de marzo y que volverá a ser "en persona" en BC.

Para leer más sobre R-Score y la participación del profesor Kevin Powers, puede consultar su reciente conversación con Boston College News en "GetRScore ayuda a las organizaciones a evaluar su capacidad para recuperarse de un ataque de ransomware." Para realizar la prueba R-Score y averiguar cuál es su grado de preparación para recuperarse de un ataque de ransomware, visite www.getrscore.org.