Haga negocios de forma segura

Una metodología de etiquetado de la seguridad rigurosa y transparente

La guía de calificación recoge con todo detalle los procedimientos y las más de 1300 prácticas analizadas para determinar la calificación de los niveles de seguridad proporcionados por los proveedores en cada servicio.

El modelo está basado en una auto-declaración tutelada, lo cual supone que es el propio proveedor de servicios TIC el que opta por el nivel en el que desea calificar su servicio, debiendo para ello cumplimentar una memoria en la que se define cómo cumple con las prácticas requeridas para dicho nivel, y que es auditada por LEET Security para verificar que el nivel propuesto es el adecuado.

La metodología de calificación es el primer sistema en cumplir con la norma "UNE 71381:2016 Tecnología de la información. Computación en la nube. Sistemas de etiquetado", que establece los requisitos que deben cumplir los sistemas de etiquetado como el de LEET Security.

Procedimiento

El procedimiento, tras la aceptación de las condiciones por parte del proveedor, se desarrolla en las siguientes fases:

Formación al proveedor sobre el esquema de calificación y sus componentes, así como sobre las fases del proceso.
Recibida la memoria por parte del proveedor, se evalúa en detalle, solicitando información adicional si procede y verificando in-situ mediante una auditoría parcial/de alcance limitado, el cumplimiento de los aspectos más relevantes, asignando a continuación el sello con el nivel de calificación resultante del proceso.
Durante el año de validez de la calificación se monitoriza la actividad, evolución del mercado, incidentes, etc, que pudiesen modificar la calificación. En este período el servicio puede ser objeto de auditorías aleatorias exhaustivas.
Transcurrido un año tras la calificación, y mediante un proceso similar al alta, se otorga o deniega la renovación con la calificación correspondiente.

Calificación

Las calificaciones otorgadas constan de 3 letras, que definen el nivel de calificación obtenido por el proveedor para el servicio determinado, en las tres dimensiones fundamentales de Confidencialidad, Integridad y Disponibilidad de la información. Todas las calificaciones se inscriben y se hacen públicas en el sitio web de LEET Security y mediante sus canales de difusión.

Para otorgar estos niveles de calificación se tienen en cuenta, tanto las medidas específicas implantadas por el proveedor en el servicio calificado, como las características generales del proveedor para asegurar que se trata de un proveedor fiable y, finalmente, las medidas que implementa para asegurar la resiliencia del servicio prestado (porque dado el hecho de que nadie está libre de sufrir un incidente, lo más importante es valorar la capacidad de recuperación del servicio).




Seguimiento

El seguimiento para garantizar que las condiciones exigidas se mantienen durante el periodo de validez, se realizar en base a tres mecanismos adicionales de control:

  • Realización de auditorías periódicas aleatorias.

  • Vigilancia digital, incluyendo canal de denuncias por parte de los usuarios de los servicios calificados.

  • Obligación del proveedor de notificar a LEET Security cualquier circunstancia o modificación que pueda afecta a la calificación.

En cualquiera de estos casos, se procedería a una nueva evaluación para determinar si procede el mantenimiento o modificación de los niveles de calificación otorgados al servicio. Las modificaciones producidas y las circunstancias causantes de las mismas, se comunican públicamente por parte de LEET Security en forma análoga a su concesión inicial.

Niveles de calificación

Todos las prácticas incluidas en la guía de calificación están clasificados en 5 niveles, desde la A+ hasta la D, exigiendo ya desde el nivel ‘D’ el cumplimiento de unas medidas básicas de seguridad y correspondiendo el nivel ‘A+’ al mejor conjunto de medidas posibles en cada momento. De esta forma, el nivel ‘A+’ está reservado a aquellos servicios destinados a tratamiento de información extremadamente confidencial (como secretos industriales o nacionales) o con requisitos muy exigentes de disponibilidad (como infraestructuras críticas).

Para alcanzar un determinado nivel es necesario cumplir con todos las prácticas exigidas para el mismo, atendiendo a la máxima de que “la seguridad es tan fuerte como el eslabón más débil”. Esto implica que si un servicio cumple con todas las prácticas necesarias para alcanzar el nivel B, excepto por uno, en el que alcanza los prácticas para el nivel C, la calificación final será una C.



Disponer del sello LEET Security asegura que el servicio calificado cuenta con un sistema de gestión y medidas de seguridad.



Esta calificación no es global, sino que se evalúan las medidas relevantes para las tres dimensiones fundamentales de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad. De esta forma, la calificación otorgada por LEET Security consta de tres letras: La primera indica la fiabilidad del servicio en cuanto a la Confidencialidad, la segunda valora la Integridad y la tercera mide la Disponibilidad, siempre de forma específica para el servicio calificado.

Nuestro sistema de calificación ha establecido también niveles especiales para diferentes estándares. En esta versión de la metodología existen cuatro calificadores complementarios especiales de cumplimiento:

  • +PCI, implica que el servicio cumple con PCI DSS v3.1.

  • +ENS/c, indicando cumplimiento con el RD 311/2022, por el que se regula el Esquema Nacional de Seguridad.

  • +C4V, indica cumplimiento del modelo de Construcción de Capacidades de Ciberseguridad para la Cadena de Valor, en conformidad con el ENSI

  • +PRIV, se otorga tras la verificación de que se cumple con todas las prácticas ligadas a la normativa de protección de datos, y en particular con el Reglamento General de Protección de Datos y la LOPDGDD, acorde al nivel de calificación obtenido.

Podemos encontrarnos también con la calificación inespecífica: PASSED. Ello significa que el servicio en cuestión cuando menos supera todas las medidas correspondientes al nivel D en las tres dimensiones, si bien, el proveedor no desea mostrar los niveles de forma explícita. En este caso, el informe ejecutivo de los niveles correspondientes puede ser consultado en el apartado de Servicios calificados, asociado al número de registro correspondiente, o accediendo al mísmo haciendo click sobre el sello mostrado en el sitio web del proveedor del servicio.



Reconocimiento

El sistema de calificación de LEET Security, desarrollado desde 2010 y en evolución continua, está reconocido por la European Agency for Network and Information Security y está inscrito como mecanismo de confianza en el Instituto Nacional de Ciberseguridad (INCIBE).



enisa incibe


La metodología de calificación cumple con la norma UNE 71381:2016 Tecnología de la información. Computación en la nube. Sistemas de etiquetado