El 29 de enero de 2010 se publicaba en el BOE el Real Decreto 3/2010 que alumbraba el Esquema Nacional de Seguridad (ENS) y a finales de ese mismo año veía la luz Leet Security y la versión inicial de su esquema de calificación de ciberseguridad. El ENS nació con el objetivo de crear «las condiciones necesarias de confianza en el uso de los medios electrónicos»; mientras que la misión de Leet Security es, desde el principio, «dotar a las empresas y a sus proveedores de un mecanismo de calificación eficaz para conocer, acreditar y mejorar los niveles de ciberseguridad y minimizar los riesgos».
Ambos mecanismos persiguen construir la necesaria confianza sobre las tecnologías de la información: el ENS mediante la definición de las condiciones mínimas que deben reunir dichos sistemas en función de su criticidad y Leet Security mediante la transparencia sobre el nivel de ciberseguridad que alcanzan los sistemas por la robustez y madurez de las medidas implementadas. La diferencia fundamental es que Leet Security no tiene –ni quiere– la capacidad prescriptiva del legislador para decidir cuáles son las medidas en función de la criticidad como sí tiene el ENS. Leet Security lo que busca es «simplemente» proporcionar una escala compartida por todos los agentes que permita entender el grado de seguridad y que, luego, cada parte, en función de sus necesidades y según lo requiera la ocasión, sea la que decida cuál es el nivel adecuado de seguridad que va a requerir.
Leet Security y el ENS persiguen construir la necesaria confianza sobre las tecnologías de la información
Otras circunstancias parejas son la definición de niveles, en la que el ENS opta por tres categorías (baja, media y alta), mientras que Leet Security apuesta por cinco (empezando por la D y terminando por el A+) y la consideración de varias dimensiones. En este caso, es el ENS el que tiene cinco (confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad), siendo Leet Security la que se queda en tres (la famosa triada de confidencialidad, integridad y disponibilidad).
ENS y Leet Security: simbiosis perfecta
Pero no acaba ahí. Las vidas paralelas han llegado hasta el ámbito de la gestión de riesgos de terceros, en el que ambos esquemas son ampliamente utilizados. Podríamos decir que el ENS para el entorno de administraciones públicas españolas y Leet Security para el entorno privado, y con un carácter más internacional. ¿A qué se debe esta evolución? Básicamente, de unos años a esta parte nos hemos dado cuenta de que tan importante como mejorar el nivel de seguridad de nuestros sistemas es asegurar que el nivel de seguridad de todos aquellos terceros de los que dependemos (en especial proveedores, pero no exclusivamente) esté alineado con nuestro nivel de seguridad, y que no son el eslabón más débil de la seguridad de nuestros sistemas.
Y resulta que para dar respuesta a esta necesidad ambos esquemas se apoyan y complementan:
- El ENS aporta un marco de referencia en el que los proveedores de los organismos públicos pueden entender las necesidades de seguridad de los servicios que ofrecen mediante la estandarización de los requisitos en las ya mencionadas categorías. De esta manera, si un organismo público dice que el servicio tiene que cumplir con los requisitos de la categoría media, cualquier proveedor puede irse al Real Decreto y extraer cuáles son las medidas que debe implementar en dicho servicio de manera inequívoca. Adicionalmente, el ENS aporta otra característica igual o más importante, y es que tiene asociado un esquema de certificación por el que unas entidades acreditadas (entre ellas, la propia Leet Security) emiten informes y certificados de cumplimiento con el Esquema, de manera que los organismos públicos no tienen que validar por sí mismos que los proveedores cumplen con los requisitos exigidos, sino que es el proveedor el que se encarga de su propia auditoría.
- Leet Security, por su parte, hace lo propio, pero para cualquier tipo de organización, sector y geografía. Esta capacidad deriva del carácter no prescriptivo del esquema. Es decir, al establecer simplemente los niveles, da la libertad para que cada organización asocie dichos niveles de seguridad a sus niveles de riesgo y criticidad a su criterio. Digamos que, en este sentido, da más libertad, pero manteniendo la transparencia en cuanto al nivel de seguridad del sistema evaluado. Y, al igual que el ENS, la calificación de Leet Security cuenta también con una auditoría in situ y un distintivo público al que denominamos «Sello» en el que se refleja el nivel de seguridad alcanzado, siendo el propio proveedor el que se encarga de gestionar su propia auditoría y asumir el coste de la misma.
Estas características hacen que el ENS y Leet Security, cada una en su ámbito, sean óptimas para resolver el reto de la gestión de riesgos de terceros, ya que permiten a los compradores de servicios basados en tecnología conocer el nivel de seguridad de dichos servicios, incluso antes de contratarlos. Si quisiéramos abordar esto con un método propietario sería inviable –pedir auditar a un proveedor con el que todavía no estamos trabajando se antoja una quimera y un coste absurdo si luego no acabamos contratándolo–. De hecho, esta similitud en la aplicación a la gestión de riesgos de terceros es el principal motivo que nos llevó, como agencia de calificación, a apostar por el ENS y abordar el proceso de acreditación para poder ofrecer también su certificación.
La estandarización de la evaluación de terceros
La magnitud del reto que supone la necesidad de evaluar a todos los terceros que acceden a nuestros sistemas o que gestionan nuestra información en sus propios sistemas hace que la única manera viable sea la estandarización de los mecanismos de evaluación. Si a la magnitud del problema añadimos la coyuntura económica a la que nos vamos a tener que enfrentar en los siguientes meses, llegaremos rápidamente a la conclusión de que evaluar a mis proveedores con un mecanismo personal propio, que solo sirve para mí, es un lujo que muy difícilmente va a tener justificación, máxime cuando existen métodos que ofrecen resultados equiparables con una dedicación de recursos ínfima, comparada con la labor artesana que supone utilizar mi propio mecanismo de evaluación. Ojo, hablamos de un mecanismo de evaluación, no de un proceso de gestión de riesgo de terceros que, obviamente, tendrá que seguir siendo específico de cada organización.
La única manera viable de calificar a los terceros es la estandarización de mecanismos de evaluación
En el Sector Público, esta labor la realiza el ENS que, como decíamos, agrupa los diferentes escenarios alrededor de tres categorías, de forma que los usuarios piden el cumplimiento de una de dichas categorías y el proveedor puede acreditar por su cuenta el cumplimiento de las medidas correspondientes a la misma.
Por desgracia, en el sector privado no existe nadie con esa capacidad prescritptiva y es imposible que las organizaciones consensúen los requisitos de seguridad para caso de uso. Básicamente, porque la evaluación y la gestión de riesgos de cada organización es «personal e intransferible», e incluso, organizaciones muy parejas tendrán análisis del nivel de riegos diferentes. Por eso, la única forma de estandarizar el proceso es consensuar el mecanismo de medición (el sistema métrico) a utilizar, que es lo que ofrece la calificación de Leet Security: una forma de «medir» el nivel de seguridad de un servicio. De esta forma el usuario solo tiene que confrontar el nivel de protección con su nivel de riesgo intrínseco y elegir aquel nivel de seguridad necesario para alcanzar el objetivo de riesgo que se hubiera marcado.
Y si ENS y la calificación aportan mucho por separado, no digamos ya conjuntamente. En primer lugar, la posibilidad de abordar conjuntamente ambas acreditaciones en un único proceso de auditoría, mucho más eficiente desde una perspectiva de costes para el propio proveedor. Este pasa de responder un cuestionario a cada uno de sus clientes y de realizar algunas auditorías para aquellos clientes que se las solicitan, a realizar una única auditoría válida para todos sus clientes, tanto en el sector público como el privado. Y en segundo lugar, es mucho más eficiente para el cliente de ese proveedor, que no tiene que invertir en conocer el nivel de seguridad del proveedor porque viene indicado por la certificación y calificación, y puede dedicar los recursos de auditoría de una forma mucho más eficiente en los aspectos que tengan un mayor riesgo. En resumen, pasamos de una situación con múltiples respuestas a cuestionarios + auditorías que solo valen a un cliente, a otra situación en la que realizamos una única auditoría que mostramos a todos nuestros clientes.
De hecho, la eficiencia en los procesos de cumplimiento pueden ir mucho más allá y, además de integrar la calificación de Leet Security y la certificación del ENS, puede incluir también certificaciones ISO/IEC como las de la familia 27K, 22301, etc., o incluso, procesos de auditoría SOC2 tipo II. Al fin y al cabo, el nivel de auditoría de un servicio siempre es el mismo y lo único que hay que hacer es ir enfrentándolo con distintos referenciales, lo que se puede hacer uno a uno o abordando procesos integrados.
La principal vía para crear un ecosistema en el que podamos confiar los unos en los otros es la estandarización
En definitiva, tras diez años de vida de Leet Security, en los que hemos ido creciendo a la vez que crecía el uso del ENS, creemos que lo mejor para todo el sector es apostar por la estandarización de los mecanismos de evaluación como única vía para crear un ecosistema en el que podamos confiar los unos en los otros, gracias a la transparencia sobre el verdadero nivel de seguridad de los servicios que unos y otros ofrecemos. Lo contrario nos llevará a un despilfarro de recursos (que por desgracia no vamos a tener) y, lo que es peor, para que al final solo sepamos que podemos confiar sobre unos cuantos, que serán a los que llegue con mis recursos limitados. La estandarización no es UNA opción, es LA opción.