Facebook Linkedin Twitter Instagram Youtube Telegram

Nueva calificación de ciberseguridad para los servicios de criticidad y/o riesgo medio

ASSESSMENT es una nueva calificación que completa el sistema de auto-evaluación online con un análisis documental de las medidas de seguridad.

Según el último estudio de LEET Security, el 18% de las empresas encuestadas no realiza ningún método de evaluación de ciberseguridad a sus proveedores.

Los ciberataques que entran a través de terceros se han triplicado desde 2018, hasta el 46,8% de los casos.

Lanza ASSESSMENT, un nueva calificación para conocer el nivel de ciberseguridad de un servicio, que completa la autoevaluación online con una verificación del nivel de seguridad a través del análisis de los documentos aportados por la  compañía. 

La evaluación del nivel de ciberseguridad es algo tan necesario como poco frecuente. El nuevo servicio ASSESSMENT se presenta en un momento en el que, según el último estudio de LEET Security, el 18% de las empresas encuestadas no realiza ningún método de evaluación de ciberseguridad a sus proveedores, a pesar de reconocer que el 46,8% de los ciberataques proceden de terceros. 

Este dato es especialmente importante si tenemos en cuenta que existe una gran preocupación por los ciberataques sufridos en los últimos meses en nuestro país. No en vano, España ha sido el cuarto país del mundo en recibir el mayor número de ataques de ciberseguridad durante el confinamiento y, según el citado estudio, realizado en abril de este año, el 60% de los consultados tiene proveedores conectados a sus sistemas y un 55% afirma que su información es procesada por terceros.

El objetivo de este nuevo modelo de rating es impulsar el uso de la calificación, facilitando su llegada a aquellos servicios de proveedores que, en muchas ocasiones, no han sido objeto de ningún tipo de evaluación, resultando idóneo para aquellos casos con un nivel de criticidad o riesgo medios, en los que no se requiere una completa auditoría de verificación.

Assessment, entre la auto-evaluación y la calificación

Desde su lanzamiento, la calificación de LEET Security se ha mantenido como el sistema más riguroso y fiable para evaluar y mostrar el nivel real de ciberseguridad con que se prestan los servicios. Esta calificación se otorga tras la realización de una rigurosa auditoría de las medidas de seguridad técnicas y organizativas que están implantadas y operativas, y se complementa con una supervisión que incluye la monitorización digital continua desde el exterior de la organización.

Por otra parte, todo el marco de controles y metodología de calificación se encuentran implantados en una herramienta online, E-Qualify, que permite realizar una auto-evaluación, obteniendo así el nivel asociado a las respuestas facilitadas, sin ninguna comprobación adicional.

El ASSESSMENT viene a cubrir el espacio entre ambos métodos, ya que su resultado se otorga tras una extensa revisión documental, en la que los analistas de agencia evalúan las políticas y estrategia de ciberseguridad, los estándares o guías de aplicación, y los procedimientos que describen la forma de ejecutar los diferentes procesos. El resultado de esta evaluación está dotado de altas cotas de fiabilidad, que lo sitúa muy por encima de la auto-evaluación, aunque sin llegar al grado aportado por la calificación.

El marco de controles que utiliza la compañía para todos sus servicios de calificación está basado en 14 dominios, que abarcan todos los factores que impactan en la seguridad, y con una escala de 5 niveles que categorizan la ciberseguridad de un servicio. La metodología de LEET Security es transparente y rigurosa y su pionera calificación, única en Europa, se realiza mediante la evaluación del cumplimiento de un extenso conjunto de controles, obtenidos a partir de los más rigurosos estándares, normativas y prácticas internacionales. La calificación de LEET Security se realiza en 3 dimensiones: confidencialidad, integridad y disponibilidad.

Todos los controles están clasificados en 5 niveles, desde la A+ hasta la D, exigiendo ya desde el ‘D’ el cumplimiento de unas medidas básicas de seguridad y correspondiendo el ‘A+’ al máximo nivel de seguridad. De esta forma, la escala ‘A+’ está reservada a aquellos servicios destinados a tratamiento de información extremadamente confidencial (como secretos industriales o nacionales) o con requisitos muy exigentes de disponibilidad (como infraestructuras críticas).

¿Cómo funciona Assessment?

El servicio de ASSESSMENT comienza con la cumplimentación de una auto-evaluación mediante la herramienta E-Qualify. Y, una vez realizado, desde LEET Security se solicita y evalúa la documentación requerida y aportada por la compañía. En este sentido, se analizan: 

  • Las políticas, con una descripción de alto nivel relativa a la protección de la organización y sus activos, así como a la gestión de incidentes. 
  • Los estándares o guías, con la materialización de las políticas y normativas para definir de qué forma y dónde realizar las actuaciones, con instrucciones precisas.
  • Y, por último, los procedimientos, donde se describen la forma de ejecutar los diferentes procesos de acuerdo a la normativa vigente.

En base a esta información, los auditores de LEET Security evalúan el diseño de los controles y medidas de seguridad y comprueban que la ejecución de alguno de los procesos se realiza de acuerdo con los procedimientos establecidos para el mismo. Este método es similar al empleado para la realización de informes Tipo I, según la metodología ISAE 3402 / SSAE 16. Con esta revisión documental se adjudica un grado alto de confiabilidad al resultado del ASSESSMENT, que se otorga para las tres dimensiones de Confidencialidad, Integridad y Disponibilidad

El resultado final que se obtiene es un informe de resultados y un sello o etiqueta para el servicio evaluado, y que permiten al titular acreditar su posicionamiento en ciberseguridad. El informe cuenta con una validez de 12 meses, ya que la rápida evolución del entorno de la ciberseguridad precisa de una revisión continua de las prácticas empleadas en la protección de la información.

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.