La evaluación del grado de ciberseguridad de las empresas es algo tan necesario como poco frecuente. De hecho, según un estudio de Leet Security, el 18% de las empresas encuestadas no realiza ningún método de evaluación de ciberseguridad a sus proveedores. Y eso a pesar de reconocer que el 46,8% de los ciberataques proceden de terceros. En este sentido, Leet Security ha lanzado Assessment, una nueva calificación para conocer el grado de ciberseguridad de un servicio. Consiste en una autoevaluación online con una verificación del grado de seguridad a través del análisis de los documentos aportados por la compañía.
El objetivo de este nuevo modelo de rating es impulsar el uso de la calificación. Quiere, por tanto, facilitar su llegada a aquellos servicios de proveedores que, en muchas ocasiones, no han sido objeto de ningún tipo de evaluación. Así pues, según la empresa, resulta idóneo para casos con criticidad o riesgo medios, en los que no se requiere una completa auditoría de verificación.
Entre la autoevaluación y la calificación de ciberseguridad
Esta calificación se otorga tras la realización de una rigurosa auditoría de las medidas de seguridad técnicas y organizativas que están implantadas y operativas. Además, se complementa con una supervisión que incluye la monitorización digital continua desde el exterior de la organización.
Por otra parte, todo el marco de controles y metodología de calificación se encuentran implantados en una herramienta online, E-Qualify. Esta permite realizar una autoevaluación, obteniendo así el grado asociado a las respuestas facilitadas, sin ninguna comprobación adicional.
A esto se le añade una extensa revisión documental, en la que los analistas de la agencia evalúan las políticas y estrategia de ciberseguridad, los estándares o guías de aplicación; así como los procedimientos que describen la forma de ejecutar los diferentes procesos. El resultado de esta evaluación tiene mucha fiabilidad, muy por encima de la autoevaluación, aunque sin llegar al grado aportado por la calificación.
Niveles de calificación
Finalmente, el marco de controles que utiliza la compañía para todos sus servicios de calificación está basado en catorce dominios. Estos abarcan todos los factores que impactan en la seguridad, con una escala de cinco niveles que categorizan la ciberseguridad de un servicio. Van desde la “A+” hasta la “D”, exigiendo ya desde este último el cumplimiento de unas medidas básicas de seguridad y correspondiendo el “A+” al máximo grado de seguridad. A partir de ahí, la calificación de LEET Security se realiza en tres dimensiones: confidencialidad, integridad y disponibilidad.
¿Cómo funciona Assessment?
Este servicio comienza con la cumplimentación de una autoevaluación mediante la herramienta E-Qualify. Y, una vez realizado, Leet Security evalúa la documentación requerida y aportada por la compañía. En este sentido, se analizan:
– Las políticas, con una descripción de la protección de la organización y sus activos, así como a la gestión de incidentes.
– Los estándares o guías, con la materialización de las políticas y normativas para definir de qué forma y dónde realizar las actuaciones.
– Y, por último, los procedimientos, donde se describen la forma de ejecutar los diferentes procesos de acuerdo a la normativa vigente.
A partir de esta información, los auditores de Leet Security evalúan el diseño de los controles y medidas de seguridad. Además, comprueban que la ejecución de alguno de los procesos se realiza de acuerdo con los procedimientos establecidos. El resultado final que se obtiene es un informe de resultados y un sello o etiqueta para el servicio evaluado, y que permiten al titular acreditar su posicionamiento en ciberseguridad.
Archivado en: