El Sello LEET es una etiqueta que materializa y muestra el nivel de ciberseguridad que tiene un proveedor en el servicio calificado.
El Sello LEET otorga una "puntuación" a las medidas de seguridad integradas por el proveedor en la construcción y operación de dicho servicio a diferencia de otros mecanismos que únicamente corroboran la existencia y cumplimiento de procedimientos de gestión - como la certificación ISO/IEC 27001 - o que certifican características de productos, - certificación Common Criteria -, pero que en ningún caso establecen una valoración cuantitativa ni permiten mostrar el nivel de seguridad proporcionado en un determinado servicio respecto a la información o datos que maneja.
En términos prácticos, al igual que un hotel requiere de una licencia de apertura, pero como clientes queremos saber las estrellas que tiene antes de hacer nuestra reserva, un servicio TIC también debe ser prestado por una empresa autorizada - y posiblemente contar con una certificación ISO27001 -, y es el Sello LEET el que nos indica, no sólo el número de estrellas, sino que además valora por separado sus habitaciones, el restaurante y las instalaciones auxiliares. De esta forma, mayores niveles de calificación implican una menor probabilidad de que el servicio sufra un incidente, pero lo que es más importante, mayores son las capacidades del proveedor para restaurar la normalidad del servicio en un menor tiempo.
Toda la metodología, criterios de valoración y el registro de servicios, son públicos, por lo que proporciona total transparencia a la hora de valorar y comparar diferentes servicios en el momento de seleccionar a sus proveedores TIC.
El sistema de calificación gestionado por LEET Security es la primera implantación de la recomendación de la Estrategia de Ciberseguridad de la UE, de crear sistemas de etiquetado de la seguridad TIC.
Esta puntuación se otorga además en tres dimensiones: Confidencialidad, Integridad y Disponibilidad, y el Sello LEET nos muestra la valoración obtenida por el servicio calificado en cada una de ellas en función de las medidas de seguridad y continuidad implementadas, expresada mediante tres letras, de la A+ (correspondiente al nivel más elevado) a la D (el nivel más básico).
El Objetivo de LEET Security es facilitar los procesos de contratación de servicios TIC mediante la simplificación de la evaluación de su seguridad.
LEET Security cubre la carencia de un sistema objetivo que normalice los criterios y minimice desigualdades en el proceso de selección de las empresas que concurren en el mercado de servicios TIC, evitando la selección adversa.
A través de su sello, la agencia LEET Security etiqueta los diferentes servicios TIC ofrecidos por los proveedores en función de una evaluación exhaustiva y rigurosa de las medidas de seguridad que incorporan, la fiabilidad del proveedor y los mecanismos de resiliencia aplicados.
Desde la perspectiva del cliente: ¿Cómo comparar dos servicios similares? ¿Tendrán los servicios contratados el nivel de seguridad que yo necesito? ¿Qué ocurre si el proveedor sufre un incidente?
Desde las perspectiva de proveedor: ¿Cómo garantizar confianza en mis servicios?, ¿Cómo diferenciarme de la competencia en base a mis inversiones en seguridad? ¿Cómo puedo segmentar mi oferta?
Fomenta la transparencia: Todos los usuarios pueden conocer los niveles de calificación de un servicio y disponer de un mecanismo de denuncia en caso de incumplimiento de las condiciones necesarias.
Limita el conflicto de intereses habitual en terceros de confianza: El sistema de LEET Security, basado en la autoevaluación tutelada, reduce la posibilidad de conflicto de intereses y fija la responsabilidad en el lado del proveedor de servicios.
Simplifica el entendimiento del nivel de seguridad: No se precisa un experto para evaluar si el servicio a contratar es el adecuado al propio perfil de riesgo.
Reduce los costes de implantación: El modelo de autoevaluación tutelada permite a los proveedores su adscripción sin tener que hacer frente a grandes costes de adaptación.
Racionaliza el proceso de auditorías: Al utilizar el sistema de calificación que incorpora los controles de las normativas y estándares más difundidos, los proveedores de servicios TIC pueden simplificar los procesos de auditoría al evitar pruebas repetitivas de los mismos controles (principio "audita una vez y utiliza varias veces").
El sistema de calificación de LEET Security, desarrollado desde 2010 y en evolución continua, está reconocido por la European Agency for Network and Information Security y está inscrito como mecanismo de confianza en el Instituto Nacional de Ciberseguridad (INCIBE).
La metodología de calificación cumple con la norma UNE 71381:2016 Tecnología de la información. Computación en la nube. Sistemas de etiquetado