Calificación sobre evidencias documentales

Evaluación del programa de seguridad



El Assessment es un “rating” del nivel de ciberseguridad que, como la calificación, está enfocado en los servicios, ocupando una posición intermedia entre la auto-evaluación y la calificación. La primera realizada directamente por el proveedor y sin ningún tipo de comprobación, y la segunda, otorgada tras un riguroso proceso de auditoría y que cuenta con mecanismos de supervisión.

El Assessment y el marco de controles



Nuestro servicio Assessment tiene como punto de partida el marco de controles completo de LEET Security, en sus 14 dominios y con los 5 niveles que caracterizan nuestra calificación, y al igual que ésta, comienza con la cumplimentación de la auto-evaluación mediante la herramienta E-Qualify, en la que se deberán cumplimentar todas las cuestiones correspondientes al nivel seleccionado como objetivo, identificando las evidencias y/o indicando el modo en el que se realiza el cumplimiento de los controles que se han marcado.





Evaluación documental


Solicitamos y evaluamos la documentación referida a:


  • Políticas: descripción de alto nivel relativa a la protección de la organización y sus activos, así como a la gestión de incidentes.

  • Estándares o guías: materialización de las políticas para definir de qué forma y dónde realizar las actuaciones, con instrucciones precisas.

  • Procedimientos: describen la forma de ejecutar los diferentes procesos de acuerdo a la normativa vigente.

En base a este soporte documental, nuestros auditores evalúan el diseño de los controles y medidas de seguridad, pero no la correcta operación de los mismos, si bien se comprobará también que la ejecución de algún proceso se realiza de acuerdo con los procedimientos establecidos para el mismo. Este método es similar al empleado para la realización de informes Tipo I según la metodología ISAE 3402 / SSAE 16.

El proceso de evaluación no comprueba que la documentación aportada está formalmente aprobada y comunicada en la organización, si bien se requiere que nuestros clientes se responsabilicen de ambos aspectos.

Con esta revisión documental se confiere un grado alto de confiabilidad al resultado del Assessment, que se otorga para las tres dimensiones de Confidencialidad, Integridad y Disponibilidad, y se considera que cuenta con una validez de 12 meses, ya que la rápida evolución del entorno de la ciberseguridad precisa la revisión continua de las prácticas empleadas en la protección.

El informe de resultados puede ser utilizado por los evaluados como una forma de acreditar el nivel de seguridad en la prestación de sus servicios, aunque sin contar con la total garantía de una auditoría completa y supervisión que proporciona la Calificación, pero aportando un elevado nivel de confianza basado en la verificación realizada sobre las políticas y procedimientos de seguridad de la organización.