La esperada herramienta de autoevaluación

Toda organización necesita conocer  cómo de preparados están ante la eventualidad de un ciberataque, tanto en lo referente a sus propios sistemas de información, como en relación a sus diferentes proveedores, que pueden estar directamente conectados, o manejando información de carácter más o menos sensible, que resulta de relevancia para el desarrollo normal y continuidad del negocio.

La metodología de calificación de LEET Security ha sido desarrollada específicamente para estos propósitos, recopilando para ello el más amplio referencial de controles sobre procedimientos y medidas de seguridad técnicas y organizativas, procedentes de los más extendidos estándares y normativas, nacionales e internacionales.

E-Qualify es una herramienta de auto-evaluación online que incorpora todo el conocimiento y la experiencia de LEET Security en la realización de calificaciones de ciberseguridad y que permite, mediante la respuesta a una serie de preguntas tabuladas, obtener un entendimiento de las capacidades en ciberseguridad del alcance elegido.

La evaluación se realiza utilizando la metodología de calificación de LEET Security completa, es decir, incluye los 14 dominios sobre los que se apoya, de forma que todos los aspectos relevantes de la ciberseguridad son evaluados:
     •    Gestión de Seguridad de la Información
     •    Operación de Sistemas
     •    Seguridad del Personal
     •    Seguridad de las Instalaciones
     •    Procesamiento por terceros
     •    Resiliencia
     •    Cumplimiento normativo
     •    Protección frente a malware
     •    Controles de red
     •    Monitorización
     •    Control de acceso
     •    Desarrollo de seguro
     •    Gestión de incidentes
     •    Criptografía

Para dotar al proceso de mayor sencillez, pero manteniendo su rigor y exhaustividad, E-Qualify incorpora dos mecanismos para simplificar la evaluación. Así, la cantidad de preguntas presentadas al evaluado se ajustan en función del nivel objetivo a evaluar, así como la tipología del servicio (con varias predefinidas) y componentes del mismo.

Por otra parte, se tiene en consideración la existencia de otras certificaciones y auditorías (como ISO 27001 y/o 20000, ENS o PCI-DSS), para no requerir la respuesta a las cuestiones que dichas evaluaciones ya presuponen.

De esta forma, E-Qualify permite llevar a cabo una evaluación de las capacidades de ciberseguridad según los niveles establecidos en la metodología de calificación de LEET Security, sobre la base de las respuestas proporcionadas por el evaluado respecto a todos los dominios constituyentes del referencial de la calificación.

El proceso finaliza con una valoración del nivel de calificación global obtenido en las dimensiones de Confidencialidad, Integridad y Disponibilidad y la emisión de un informe que además contiene las calificaciones individuales de cada uno de los 14 capítulos y 76 secciones que conforman el esquema. Estas calificaciones individuales proporcionan una imagen detallada sobre las fortalezas así como las áreas en las que puede presentarse algún tipo de carencia que puede ser objeto de mejora.

La herramienta se encuentra accesible en la dirección https://e-qualify.leetsecurity.com/. Para su utilización se requiere la activación de una cuenta de usuario, así como estar en posesión de un código válido para su utilización en la herramienta.

La utilización de la herramienta es conocer el nivel de capacidades en ciberseguridad para el alcance evaluado. Este conocimiento es la base para poder elaborar un plan de acción junto con la identificación de niveles objetivo para cada una de las secciones, en función de la criticidad y la importancia del servicio para la organización.

Pero también puede resultar sumamente interesante para una organización utilizar E-Qualify como herramienta de valoración de sus proveedores. Dicha organización podría adquirir tantos códigos como servicios / proveedores quisiera evaluar como parte de su proceso de Vendor Risk Management (VRM).

Este caso de uso, permite a la organización obtener un entendimiento general del nivel de seguridad de sus proveedores de una manera rápida y económica. Esta información puede servir de base para el desarrollo de un programa detallado de supervisión de dichos proveedores en función del riesgo e impacto potencial de los servicios evaluados.

La auto-evaluación no sustituye a la calificación como mecanismo de garantía ante terceros, puesto que no conlleva ningún tipo de comprobación o supervisión por parte de la LEET Security; no obstante, sí puede ser utilizada como primer paso orientativo del nivel de calificación que se podría obtener y, adicionalmente, la información recogida y el coste entrarían a formar parte de un proceso de calificación formal, si el titular decidiera abordar dicho proceso una vez finalizada la auto-evaluación.

Dirigirse a nuestra página de información para solicitar códigos para su uso.

All you need is LEET

Suscríbete a nuestra Newsletter desde este enlace.

Puedes seguirnos en twitter.com/leet_security

22 de abril de 2018