Crónica de Supply Chain Cybersecurity Summit Barcelona 2019

El título puede parecer pretencioso, pero en varias de las ponencias expuestas durante el “3rd Annual Third Party & Supply Chain Cyber Security Summit”, que se ha celebrado los días 7 y 8 de febrero en Barcelona, se ha puesto de manifiesto la motivación por la que hace unos años Antonio Ramos se decidió a crear el referencial de controles y metodología de calificación que dio origen a LEET Security.

Aún joven, en esta tercera edición ha contado con más de 75 participantes de 15 países. Con la presencia de empresas internacionales como Bank of America, BBC, IKEA, Freddie Mac, KPN, Galp o Swisscom, así como Caixabank, Grupo Santander, Banco Sabadell o Amadeus; y LEET Security, que ha participado como patrocinador, junto a Bitsight, NormShield, One Trust y SIMS Recycling Solutions.

Nos ha llamado la atención especialmente la presentación de Marc van Kasteren, Senior Security Officer de KPN, a quien no conocíamos, pero cuya exposición encaja perfectamente con nuestra motivación. Habiendo sufrido ya alguna mala experiencia, Marc nos contaba que para ellos, la típica certificación ISO 27001 que muchos otros exigen a sus proveedores, no les resultaba de ninguna utilidad, ya que solamente acredita que la entidad dispone de un sistema de gestión de la seguridad, pero no les dice nada sobre aspectos tan necesarios como las políticas de contraseñas, si utilizan o no doble factor, la aplicación de los parcheos o la gestión de las vulnerabilidades… en fin, algo que desde LEET Security venimos diciendo desde nuestros inicios, y que evidentemente, las empresas con más madurez en la gestión de riesgos de proveedores conocen muy bien.

Dos de los co-patrocinadores prestan servicios de “rating” de ciberseguridad. Y la verdad es que nos gustó participar junto a ellos, puesto que nuestra  presentación mostró claramente las diferencias existentes entre estas evaluaciones, realizadas desde el exterior sobre la base de las direcciones IP públicas del evaluado, y la calificación LEET Security, que examina y valora desde el interior los procedimientos y medidas de seguridad reales que se aplican en la prestación del servicio específico, proporcionando así una visión real y objetiva de su nivel de seguridad.

Nuestra exposición versó sobre un par de casos de uso. El primero es el de una gran sociedad inmobiliaria que posee una enorme cantidad de activos, y que emplea, tanto la auto-evaluación como la calificación,  para evaluar a toda su cadena de suministro. Entendida ésta en un sentido amplio, que comprende tanto a los suministradores de muy diferentes servicios, como al canal de distribución formado por empresas y pequeñas APIs, así como centros de llamadas, que se dedican a la venta de estos activos inmobiliarios. La actividad y el uso de información que hacen todos ellos, afecta a la seguridad y continuidad de negocio de nuestro cliente.

La posibilidad de solicitar diferentes niveles de seguridad, diferenciados además por confidencialidad, integridad y disponibilidad, así como requerir bien una calificación verificada por LEET Security para los más críticos, como una declaración responsable con el resultado de la autoevaluación a los menos sensibles, confiere a nuestro cliente una herramienta única para supervisar a todos ellos, con una escala homogénea que les permite comparar sus resultados y plantear las mejoras requeridas en las áreas en que muestren alguna debilidad.

El segundo caso fue la utilización que un proveedor de servicios de intermediación con medios de pago hace de la calificación, acompañada de un informe SOC 2 realizado sobre los controles del nivel A A A, para acreditar la implantación del elevado marco de medidas de seguridad que corresponden a este nivel, ante todos sus clientes, complementado además con los mapeos a estándares como NIST 800-53 y CCM, dando así cumplimiento a los requisitos de seguridad de todos ellos con un único proceso de auditoría.

Si quieres que te enviemos la presentación, pulsa en este enlace o escanea el código a continuación.

Una gran parte de los asistentes, con los que tuvimos ocasión de hablar durante el evento, nos manifestaron su percepción de que el modelo de calificación propuesto por LEET Security es el único que realmente cubre sus necesidades de supervisión, que como decimos, van más allá de un sistema de gestión de la seguridad o de la evaluación del proveedor desde el exterior, y como una entidad única, sin poder diferenciar entre los servicios ofrecidos, llegando a la conclusión con que encabezamos este artículo: si LEET Security no existiera, habría que inventarla.

Para ellos, y para todos: All you need is LEET

Suscríbete a nuestras comunicaciones desde este enlace

Puedes seguirnos en twitter.com/leet_security

10 de febrero de 2019