LEET Security. Una metodología de etiquetado de la seguridad rigurosa y transparente

La guía de calificación recoge con todo detalle los procedimientos y los más de 1100 controles analizados para determinar la calificación de los niveles de seguridad proporcionados por los proveedores en cada servicio.

El modelo está basado en una auto-declaración tutelada, lo cual supone que es el propio proveedor de servicios TIC el que opta por el nivel en el que desea calificar su servicio, debiendo para ello cumplimentar una memoria en la que se define cómo cumple con los controles requeridos para dicho nivel, y que es auditada por LEET Security para verificar que el nivel propuesto es el adecuado.

La metodología de calificación es el primer sistema en cumplir con la norma UNE 71381:2016 Tecnología de la información. Computación en la nube. Sistemas de etiquetado que establece los requisitos que deben cumplir los sistemas de etiquetado como el de LEET Security.

Procedimiento

El procedimiento, tras la aceptación de las condiciones por parte del proveedor, se desarrolla en las siguientes fases:

Formación al proveedor sobre el esquema de calificación y sus componentes, así como sobre las fases del proceso.
Recibida la memoria por parte del proveedor, se evalúa en detalle, solicitando información adicional si procede y verificando in-situ mediante una auditoría parcial/de alcance limitado, el cumplimiento de los aspectos más relevantes, asignando a continuación el sello con el nivel de calificación resultante del proceso.
Durante el año de validez de la calificación se monitoriza la actividad, evolución del mercado, incidentes, etc, que pudiesen modificar la calificación. En este período el servicio puede ser objeto de auditorías aleatorias exhaustivas.
Transcurrido un año tras la calificación, y mediante un proceso similar al alta, se otorga o deniega la renovación con la calificación correspondiente.

Seguimiento

El seguimiento para garantizar que las condiciones exigidas se mantienen durante el periodo de validez, se realizar en base a tres mecanismos adicionales de control:

1. Realización de auditorías periódicas aleatorias.

2. Vigilancia digital, incluyendo canal de denuncias por parte de los usuarios de los servicios calificados.

3. Obligación del proveedor de notificar a LEET Security cualquier circunstancia o modificación que pueda afecta a la calificación.

En cualquiera de estos casos, se procedería a una nueva evaluación para determinar si procede el mantenimiento o modificación de los niveles de calificación otorgados al servicio. Las modificaciones producidas y las circunstancias causantes de las mismas, se comunican públicamente por parte de LEET Security en forma análoga a su concesión inicial.

Calificación

Las calificaciones otorgadas constan de 3 letras, que definen el nivel de calificación obtenido por el proveedor para el servicio determinado, en las tres dimensiones fundamentales de Confidencialidad, Integridad y Disponibilidad de la información. Todas las calificaciones se inscriben y se hacen públicas en el sitio web de LEET Security y mediante sus canales de difusión.

Para otorgar estos niveles de calificación se tienen en cuenta, tanto las medidas específicas implantadas por el proveedor en el servicio calificado, como las características generales del proveedor para asegurar que se trata de un proveedor fiable y, finalmente, las medidas que implementa para asegurar la resiliencia del servicio prestado (porque dado el hecho de que nadie está libre de sufrir un incidente, lo más importante es valorar la capacidad de recuperación del servicio).

Reconocimiento:

El sistema de calificación de LEET Security, desarrollado desde 2010 y en evolución continua, está reconocido por la European Agency for Network and Information Security y está inscrito como mecanismo de confianza en el Instituto Nacional de Ciberseguridad (INCIBE).

La metodología de calificación cumple con la norma UNE 71381:2016 Tecnología de la información. Computación en la nube. Sistemas de etiquetado

enisaincibe