Responder a la necesidad de contar con un modelo capaz de valorar, de forma homogénea y transparente, el nivel de seguridad de un determinado servicio es la razón de ser de LEET Security, empresa que nace con el fin de desarrollar y gestionar un sistema de etiquetado para calificar, con fiabilidad 100%, los niveles de ciberseguridad implementados en los servicios que se utilizan, también en entornos cloud.
"No existe en Europa una solución igual. La mayoría de empresas de ciberseguridad se centran en la tecnología, pero nosotros hemos hecho de nuestra metodología nuestro factor diferencial", explica Alfono Pastor, socio de la empresa. Esto es lo que ha convertido a LEET Security a ser reconocida por la European Agency for Network and Information Security (ENISA) y formar parte como mecanismo de confianza en el Instituto Nacional de Ciberseguridad (INCIBE). Por otro lado, el Ministerio de Interior ha elegido a la compañía para desarrollar el protocolo de obligado cumplimiento para la protección de infraestructuras críticas. "Nuestra herramienta mejora la confianza de las empresas y los clientes. De cara al futuro queremos hacerla aún mucho más sencilla", adelanta Pastor.
Este tipo de calificación se lleva a cabo mediante la evaluación del nivel de capacidad de seguridad del proveedor del servicio que consiste en un extenso conjunto de controles, obtenidos a partir de los más rigurosos estándares, normativas y prácticas internacionales. Estos controles están clasificados en cinco niveles diferentes, en función del rigor y madurez de las medidas de seguridad implantadas, y se agrupan en las tres dimensiones de la seguridad, según contribuyan a la confidencialidad, integridad o disponibilidad del servicio.
Con esta metodología de etiquetado, es el propio proveedor de servicios el que puede optar por el nivel en el que desea calificar su servicio. Para ello, primero debe cumplimentar una memoria y definir cómo cumple con los requerimientos del nivel seleccionado. Una vez recibidos los datos del proveedor, LEET Security procede a realizar una auditoría para verificar y certificar si se cumplen los requisitos para el nivel de seguridad seleccionado. La compañía se encarga por un lado de evaluar en detalle la memoria del proveedor, solicitando incluso información adicional en caso necesario, y, por otro lado, de verificar in-situ, a través de una auditoría el cumplimiento de los aspectos más relevantes del nivel de seguridad. Una vez realizada esta auditoría, se otorga el sello con el nivel de calificación correspondiente al resultado de todo el proceso.
Esta calificación cuenta con un año de validez y, durante 12 meses, se monitorizan la actividad, la evolución del mercado o incidentes, entre otros aspectos, que puedan afectar al nivel de la calificación. Además, durante este período el servicio puede ser objeto de auditorías aleatorias exhaustivas. Posteriormente, transcurrido un año de la calificación inicial, y mediante un proceso similar al de alta, se otorga o deniega la renovación con la calificación correspondiente.
