Nueva calificación de ciberseguridad para los servicios de criticidad y/o riesgo medio

13 octubre, 2020
6 Compartido 938 Visualizaciones

ASSESSMENT es una nueva calificación que completa el sistema de auto-evaluación online con un análisis documental de las medidas de seguridad.

Según el último estudio de LEET Security, el 18% de las empresas encuestadas no realiza ningún método de evaluación de ciberseguridad a sus proveedores.

Los ciberataques que entran a través de terceros se han triplicado desde 2018, hasta el 46,8% de los casos.

Lanza ASSESSMENT, un nueva calificación para conocer el nivel de ciberseguridad de un servicio, que completa la autoevaluación online con una verificación del nivel de seguridad a través del análisis de los documentos aportados por la  compañía. 

La evaluación del nivel de ciberseguridad es algo tan necesario como poco frecuente. El nuevo servicio ASSESSMENT se presenta en un momento en el que, según el último estudio de LEET Security, el 18% de las empresas encuestadas no realiza ningún método de evaluación de ciberseguridad a sus proveedores, a pesar de reconocer que el 46,8% de los ciberataques proceden de terceros. 

Este dato es especialmente importante si tenemos en cuenta que existe una gran preocupación por los ciberataques sufridos en los últimos meses en nuestro país. No en vano, España ha sido el cuarto país del mundo en recibir el mayor número de ataques de ciberseguridad durante el confinamiento y, según el citado estudio, realizado en abril de este año, el 60% de los consultados tiene proveedores conectados a sus sistemas y un 55% afirma que su información es procesada por terceros.

El objetivo de este nuevo modelo de rating es impulsar el uso de la calificación, facilitando su llegada a aquellos servicios de proveedores que, en muchas ocasiones, no han sido objeto de ningún tipo de evaluación, resultando idóneo para aquellos casos con un nivel de criticidad o riesgo medios, en los que no se requiere una completa auditoría de verificación.

Assessment, entre la auto-evaluación y la calificación

Desde su lanzamiento, la calificación de LEET Security se ha mantenido como el sistema más riguroso y fiable para evaluar y mostrar el nivel real de ciberseguridad con que se prestan los servicios. Esta calificación se otorga tras la realización de una rigurosa auditoría de las medidas de seguridad técnicas y organizativas que están implantadas y operativas, y se complementa con una supervisión que incluye la monitorización digital continua desde el exterior de la organización.

Por otra parte, todo el marco de controles y metodología de calificación se encuentran implantados en una herramienta online, E-Qualify, que permite realizar una auto-evaluación, obteniendo así el nivel asociado a las respuestas facilitadas, sin ninguna comprobación adicional.

El ASSESSMENT viene a cubrir el espacio entre ambos métodos, ya que su resultado se otorga tras una extensa revisión documental, en la que los analistas de agencia evalúan las políticas y estrategia de ciberseguridad, los estándares o guías de aplicación, y los procedimientos que describen la forma de ejecutar los diferentes procesos. El resultado de esta evaluación está dotado de altas cotas de fiabilidad, que lo sitúa muy por encima de la auto-evaluación, aunque sin llegar al grado aportado por la calificación.

El marco de controles que utiliza la compañía para todos sus servicios de calificación está basado en 14 dominios, que abarcan todos los factores que impactan en la seguridad, y con una escala de 5 niveles que categorizan la ciberseguridad de un servicio. La metodología de LEET Security es transparente y rigurosa y su pionera calificación, única en Europa, se realiza mediante la evaluación del cumplimiento de un extenso conjunto de controles, obtenidos a partir de los más rigurosos estándares, normativas y prácticas internacionales. La calificación de LEET Security se realiza en 3 dimensiones: confidencialidad, integridad y disponibilidad.

Todos los controles están clasificados en 5 niveles, desde la A+ hasta la D, exigiendo ya desde el ‘D’ el cumplimiento de unas medidas básicas de seguridad y correspondiendo el ‘A+’ al máximo nivel de seguridad. De esta forma, la escala ‘A+’ está reservada a aquellos servicios destinados a tratamiento de información extremadamente confidencial (como secretos industriales o nacionales) o con requisitos muy exigentes de disponibilidad (como infraestructuras críticas).

¿Cómo funciona Assessment?

El servicio de ASSESSMENT comienza con la cumplimentación de una auto-evaluación mediante la herramienta E-Qualify. Y, una vez realizado, desde LEET Security se solicita y evalúa la documentación requerida y aportada por la compañía. En este sentido, se analizan: 

  • Las políticas, con una descripción de alto nivel relativa a la protección de la organización y sus activos, así como a la gestión de incidentes. 
  • Los estándares o guías, con la materialización de las políticas y normativas para definir de qué forma y dónde realizar las actuaciones, con instrucciones precisas.
  • Y, por último, los procedimientos, donde se describen la forma de ejecutar los diferentes procesos de acuerdo a la normativa vigente.

En base a esta información, los auditores de LEET Security evalúan el diseño de los controles y medidas de seguridad y comprueban que la ejecución de alguno de los procesos se realiza de acuerdo con los procedimientos establecidos para el mismo. Este método es similar al empleado para la realización de informes Tipo I, según la metodología ISAE 3402 / SSAE 16. Con esta revisión documental se adjudica un grado alto de confiabilidad al resultado del ASSESSMENT, que se otorga para las tres dimensiones de Confidencialidad, Integridad y Disponibilidad

El resultado final que se obtiene es un informe de resultados y un sello o etiqueta para el servicio evaluado, y que permiten al titular acreditar su posicionamiento en ciberseguridad. El informe cuenta con una validez de 12 meses, ya que la rápida evolución del entorno de la ciberseguridad precisa de una revisión continua de las prácticas empleadas en la protección de la información.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

DNS es una de las tres principales fuentes de datos para detectar y mitigar de amenazas de seguridad
Actualidad
8 compartido1,935 visualizaciones
Actualidad
8 compartido1,935 visualizaciones

DNS es una de las tres principales fuentes de datos para detectar y mitigar de amenazas de seguridad

Alicia Burrueco - 23 julio, 2020

  Los responsables de seguridad y riesgos encuestados manifiestan que utilizan DNS para tres funciones de seguridad principalmente: detección y…

¿Por qué se fomenta el odio en Internet?
Actualidad
18 compartido1,610 visualizaciones
Actualidad
18 compartido1,610 visualizaciones

¿Por qué se fomenta el odio en Internet?

Vicente Ramírez - 16 mayo, 2018

INCIBE elabora para los medios informativos un boletín semanal, con el fin de colaborar conjuntamente en la difusión de la…

15 consejos para tener un escaparate digital a prueba de balas
Soluciones Seguridad
25 compartido1,482 visualizaciones
Soluciones Seguridad
25 compartido1,482 visualizaciones

15 consejos para tener un escaparate digital a prueba de balas

Vicente Ramírez - 22 noviembre, 2018

All4Sec, empresa española especializada en ciberseguridad, te presenta los 15 requisitos indispensables para proteger tu escaparte digital frente a las…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.