Sistema de calificación de la seguridad de Leet Security: entrevista a Antonio Ramos

Hace unas semanas tuve el placer de charlar con Antonio Ramos, quien además de presidente del capítulo Madrileño de la ISACA es CEO de Leet Security, una empresa española nacida con la vocación de convertirse en la primera agencia de calificación de la seguridad.

El sistema de calificación de Leet Security, ideado por el propio Antonio, supone un enfoque innovador y diferencial a la hora de abordar el problema  de la seguridad y la confianza entre clientes y proveedores de servicios cloud y ha sido recientemente incluido por ENISA en su lista de esquemas de certificación para la nube.

Leet Security ofrece servicios diferenciadas en función de si la empresa es consumidora o proveedora de servicios informáticos. Para las primeras, Leet Security ofrece un mecanismo gratuito para conocer el verdadero nivel de seguridad de los servicios que utilizan (hosting, servicios en cloud, etc.). Para los proveedores, un mecanismo para rentabilizar sus inversiones en seguridad y permitirles demostrar las medidas de seguridad que implementan mediante un proceso de validación único que puede ser utilizado en múltiples ocasiones, sin ser necesario pasar una auditoría por cada cliente.

En este modelo, el propio proveedor de servicios TIC es el que decide el nivel de calificación en el que situar su servicio, siendo esta primera calificación validada por el equipo de Leet Security para garantizar la aplicación correcta de los criterios definidos en el esquema de calificación. Adicionalmente, para garantizar el mantenimiento de los criterios a lo largo del tiempo existen dos mecanismos adicionales de control:

  •  Realización de auditorías periódicas aleatorias.
  • Canal de denuncias por parte de los usuarios del sistema.

Leet Security se reserva el derecho a modificar la calificación de los servicios en función del resultado de estas medidas de control, de la opinión de sus analistas o de la evolución del mercado y/o del sector.

La conversación me pareció muy  interesante y me atreví a pedir a Antonio publicarla aquí en forma de la siguiente entrevista:

Antonio, ¿Cuándo y cómo surge la idea de fundar Leet Security?

La idea surge tras mi salida de la última empresa en la que trabajé por cuenta ajena. Necesitaba embarcarme en un proyecto propio y pensando en problemáticas de actualidad donde mi experiencia y mis conocimientos fueran útiles, surgió la idea de crear un sistema de calificación para evaluar la seguridad de los servicios TIC.

¿En qué se basa el sistema de calificación de seguridad de Leet Security y en qué se diferencia de otras iniciativas como la certificación STAR?

Pues para no aburrir mucho al lector, decir que el sistema de calificación toma en consideración tres aspectos principales: las características generales de la compañía que presta el servicio (estabilidad financiera, planes de negocio, presencia en el sector, etc.), las medidas de seguridad implementadas en el servicio que es calificado y las medidas orientadas a dotarse de un servicio resiliente. Las medidas de seguridad están agrupadas en 14 capítulos, y ordenadas en cinco niveles (de la A a la E, siendo la A, lo mejor) permitiendo al servicio obtener una nota, en función de la madurez de los procesos implementados y la robustez de las medidas de seguridad técnicas implementadas.

En cuanto a su diferencia con otras iniciativas como STAR, decir que, en primer lugar, STAR no es una certificación, es una auto-declaración del proveedor de que cumple con unos criterios, que son los incluidos en la versión correspondiente de la Cloud Control Matrix.

El sistema de calificación que proponemos desde Leet Security no es solo una auto-declaración, sino que la agencia evalúa inicialmente el servicio y realiza auditorías periódicas y aleatorias de los servicios calificados. Además, otra gran diferencia es que el sistema de calificación no permite decirle a nadie cuáles son las medidas de seguridad que tiene que cumplir (como es el caso de la CCM), sino que proporciona un método para que las dos partes, usuario y proveedor, puedan acordar qué medidas de seguridad aplican a cada servicio.  Esto se debe a que nuestra calificación da una nota que va de la A a la E, pero no de manera global, sino en tres dimensiones: confidencialidad, integridad y disponibilidad. Proporcionando, por tanto, una mayor granularidad y transparencia sobre las medidas aplicadas al servicio.

Finalmente, otra diferencia radica en que Leet Security “vigila” la no aparición de brechas de seguridad en sus clientes y en que el alcance es lo que sea necesario para prestar el servicio, simplificando el proceso de entendimiento por parte de usuarios sin conocimientos en seguridad que deben hacer un máster para entender otras certificaciones, mientras que nuestro sistema les proporciona un esquema sencillo y suficiente para entender cuántas medidas de seguridad implementa un determinado servicio.

El sistema de calificación de seguridad de Leet Security ha sido recientemente incluido por ENISA en su lista de esquemas de certificación para la cloud. ¿Qué supone para la compañía que lideras este reconocimiento?

En cierto modo, es un reconocimiento a una forma diferente de hacer las cosas y la demostración de que un enfoque novedoso, como es éste de la calificación tiene futuro, en especial para mercados de cloud computing. No hay que olvidar que la Estrategia de Ciberseguridad de la UE anima al sector privado a desarrollar sistemas de etiquetado de seguridad para simplificar el entendimiento de los usuarios de esta materia y la calificación que propone Leet Security no deja de ser eso, un sistema de etiquetado.

Por lo que sé, Leet Security ofrece asesoría gratuita a empresas en la subcontratación de servicios de TI. ¿En qué consiste esta asesoría?

El objetivo de este asesoramiento es ayudar a las empresas usuarias de servicios TIC a que identifiquen qué nivel de calificación deben solicitar a sus proveedores para que los servicios que utilicen implementen las medidas de seguridad requeridas por sus políticas de seguridad en función del perfil de riesgo del proceso de negocio al que va a dar soporte dicho servicio TIC (no es lo mismo, un hosting de nuestra web, que correo electrónico u ofimática en la nube). Es decir, ya que estos usuarios de servicios son nuestros prescriptores, queremos hacerles su vida lo más fácil posible y que no tengan ningún impedimento en solicitar un determinado nivel de calificación a sus proveedores TIC.

¿Cuál es el procedimiento que debe seguir un proveedor de servicios para obtener  y mantener vuestro rating? ¿Qué ventajas aporta el rating a un proveedor de servicios de TI? ¿Cuánto le cuesta a un proveedor de servicios el servicio de rating?

El procedimiento es muy sencillo. El proveedor que quiera obtener una calificación para un servicio que ofrece debe firmar un contrato con Leet Security y a partir de ahí, recibe una formación específica sobre el mecanismo de calificación y tiene que elaborar y presentarnos una memoria justificativa defendiendo el nivel de calificación que dice tener. Una vez recibido, analizamos que las medidas que implementa, efectivamente corresponden al nivel que desea obtener y se realiza una revisión inicial de aspectos puntuales de dicha justificación (las auditorías son aleatorias y periódicas) y que el alcance ha sido bien definido. Si no se detectan incidencias, se publica la calificación correspondiente y comienza el período de supervisión (es decir, monitorización, canal de denuncia, etc.). Por tanto, si los procesos administrativos no se demoran, sería factible obtener una calificación en menos de una semana.

En cuanto a las ventajas para el propio proveedor, yo creo que la más clara es una mayor rentabilización de las inversiones en seguridad (porque al tener niveles, no solo se publica que ha aprobado, sino el nivel que ha alcanzado, lo que puede permitir dejar atrás competidores), pero también transmite una mayor sensación de confianza con el proveedor, y finalmente, simplifica los procesos de compra, reduce el número de auditorías que se reciben y también permite segregar la oferta (mediante diferentes servicios con diferentes calificaciones en seguridad).

Finalmente, en relación al precio, el mismo depende del tamaño del proveedor y de los usuarios destinatarios y oscila entre poco más de 1.000 EUR y algo menos de 10.000 EUR, existiendo descuentos para servicios “apoyados” en la misma infraestructura tecnológica o para la contratación de un gran número de servicios en un proveedor.

¿Cómo contempla vuestro sistema de rating el cumplimiento por parte de un proveedor de servicios de TI de normas como PCI o la regulación de protección de datos?

Precisamente, dado que entendíamos que establecer determinados niveles de referencia iba a ser útil para comprender los niveles de la calificación desarrollamos dos calificaciones especiales:

  • Si la letra en la dimensión de confidencialidad lleva un `+`a su derecha significa que se ha verificado que puede realizar tratamientos de datos de carácter personal (de nivel bajo en el caso de D+, de nivel medio para C+ y para nivel alto cuando obtiene una calificación de B+ o A+.
  •  Si en cambio, lleva un `*`entonces significa que se ha verificado que el servicio cumple con los requisitos de PCI DSS.

Emprender en un país como España en estos tiempos que corren es todo un acto heroico digno de admiración. ¿Cuál es vuestro planteamiento de futuro y cuáles los retos más importantes que tenéis que afrontar?

Somos ambiciosos de cara al futuro como corresponde a una iniciativa innovadora y al hecho de ser la primera agencia de calificación en esta materia a nivel mundial. Queremos llegar a Europa a partir de 2015 y a EEUU en 2017. Para ello estamos justo en un proceso para incorporar a un socio que nos aporte el capital necesario para construir una marca acorde con el proyecto que supone Leet Security  y para dirigir la expansión a Europa en el medio plazo.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s