'La eficiencia nos obsesiona porque se pierde mucho tiempo con las auditorías' (Leet Security)

Cuatro años ha tardado Leet Security construir “el metro de medir”, el modelo de clasificación, una metodología que permite establecer un sello de calidad que determine con un simple vistazo la seguridad de la tecnología con la que prestan un servicio, sea IT o no. Nos lo cuenta Antonio Ramos, socio fundador de Leet Security, una empresa a la que se refieren como el Moody’s –la  agencia de calificación de riesgo financiero, de la seguridad. Dice Ramos que lo de Moody’s encaja muy bien porque se utiliza el mismo concepto, pero para evaluar el nivel de seguridad de los servicios que se ofrecen.

Este contenido fue publicado en el número de junio de la revista IT Digital Security, disponible desde este enlace.

Cuando se quiere explicar cuán seguro eres, o cuán seguro es el servicio que prestas, el camino habitual es una auditoría, “y nosotros buscábamos una estandarización en la forma en que se explica la seguridad”, cuenta Antonio Ramos. Se llega al concepto de calificación mirando a tu alrededor; “yo no entiendo nada de eficiencia energética, pero sé que una lavadora A+ es mejor que una A, y lo entiendo de manera sencilla. Y eso es lo que hace Leet al final”.

La compañía estableció una metodología que evalúa 14 dominios, 76 secciones y hasta 340 objetivos de control. Explica Antonio Ramos que este método contempla dos mecanismos: uno es la calificación en sí misma y, desde hace un año, una autoevaluación online que se puede hacer para tener un acercamiento más paulatino a la evaluación. Es decir que la calificación verifica la autoevaluación. “Nosotros queríamos innovar en el proceso. Las auditorías están muy bien, pero son caras y costosas, y no lo digo tanto por el dinero sino porque requieren esfuerzo y dedicación para atender a los auditores”, dice el socio fundador de Leet Security, quien “preocupado por la eficiencia y la transparencia” se lanzó a desarrollar un sistemas de calificación de la seguridad de los servicios que fuera válido por un año, durante el cual se establecer una evaluación continua, con auditorías aleatorias, esporádicas y pasivas. ¿Pasivas? “Sí, monitorizamos foros underground y si vemos que hay algún tipo de rumor sobre un problema de seguridad de un proveedor que tenemos calificado, estudiamos y valoramos esa alerta, pudiendo modificar la calificación”.

El modelo de Leet establece cinco niveles, desde la D a la A+, aplicados a tres campos: Confidencialidad, Integridad y disponibilidad. Es decir que hay dos dimensiones y un total de 125 casos posibles, desde el más bajo, DDD, al más alto. De forma que una etiqueta de Leet que sea DDA+ significa que es un servicio muy bajo en confidencialidad, pero que en disponibilidad está muy bien redundado; y otro sello que sea AAD significa que es un servicio extra confidencial, pero que no está haciendo copias de respaldo.

Hay cinco niveles, desde la D y la A+, que se aplican en Confidencialidad, Integridad y Disponibilidad. Es decir que hay dos dimensiones y un total de 125 casos posibles, desde el DDD e ir subiendo en cada nivel. Una  etiqueta de Leet que sea DDA+ significa que es un servicio muy bajo en confidencialidad, pero en disponibilidad está súper redundado; si veo un servicio que es AAD, puedo saber que es un servicio hiper confidencial pero que no está haciendo copias de respaldo, explica Antonio Ramos, añadiendo que las auditorías que se realizan para establecer la calificación “van al detalle”, asegurando que “no sólo se mira la definición del control, sino que esté bien implementado”.

¿A quién interesa el sello de Leet Security?

Identifica Leet Security dos tipos de clientes. Por una parte, los proveedores de un servicio, sea tecnológico o no, y por otra parte los prescriptores. “Calificamos cualquier tipo de servicio, desde conectados a no conectados”; en este último caso se contempla un despacho de abogados que quiera certificar que el servicio que ofrece, que está claro que no es de TI, se realiza de forma segura, que las comunicaciones con los clientes o la protección de la información, sea segura; de ahí que Antonio Ramos insista en asegura que el fin de Leet Security es “evaluar la seguridad de la tecnología con la que me prestan un servicio”.

Hablar de prescriptores está muy relacionado con la cadena de suministro. ¿Cómo puede una empresa estar segura de la seguridad de sus partners? “Nosotros trabajamos mucho con prescriptores, que tiene una cadena de valor inmanejable por sí mismo y necesitan una forma de saber cómo están. Nuestro primer prescriptor grande fue Repsol, luego se sumó Mapfre…”. Explica también Antonio Ramos que en el sector financiero es obligatorio que se supervise la seguridad de la cadena de valor, algo que ha extendido GDPR, para lo que “necesitamos un mecanismo por el que yo vea una etiqueta y sepa lo que tengo”.

La compañía ha trabajado con esos prescriptores para simplificar sus procesos al pedir a sus proveedores críticos que vengan calificados, con un sello. También hay proveedores que optan por utilizar el sello de Leet Security como herramienta diferencial de su competencia y demostrar que están securizando sus servicios de manera adecuada. Por cierto, que cada servicio tiene su propio sello y es el proveedor el que decide qué grado quiere en cada uno; “puede que con un servicio se dirijan a pymes y les baste una C y con otro se dirijan al sector financiero u hospitalario y necesiten una A, de forma que incluso pueden utilizan la calificación dependiendo de su target. En estos cuatro años habremos emitido cerca de un centenar de sellos, y en vigor hay más de 80”, dice Ramos.

¿Cuál es el objetivo de la compañía a media plazo? Sin mencionar el nombre, aseguran estar trabajando con su primer proveedor cloud global al tiempo que se negocia con una certificadora holandesa para crear un bundle servicios certificados que se ofrezcan a nivel global.

Habla Antonio Ramos del efecto “Audit Fatigue”, o fatiga de auditoría, y la propuesta de la compañía de hacer que en un mismo proceso se puedan conseguir varias certificaciones, el de Esquema Nacional de Seguridad, que sí que puede otorgar Leet Security, junto con algunos ISO, para lo que necesita la asociación con una entidad certificadora.

¿Crees que por ahí va a venir el crecimiento? “Sí, eso será un factor. Otro será cuando la gente se empiece a dar cuenta de que tiene que supervisar a sus proveedores y no hay manera de hacerlo. Y luego estamos trabajando con el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), en torno al nuevo esquema de certificación que saldrá para Infraestructuras críticas. Nuestra idea es que todo esté armonizado de forma que pueda simplificar mis procesos de cumplimiento y si necesito CNPIC, ENS, y alguna ISO consiga todo en un único proceso. La eficiencia nos obsesiona porque vemos que se pierde mucho tiempo con las auditorías”.

GDPR, ¿ha impulsado el negocio? “Sí, se ha notado”, y explica Ramos que el impacto de GDPR ha sido doble, por un lado, en cuanto a negocio, por otro en cuanto a visibilidad. El primero parece obvio, en cuanto al segundo, explica el directivo que mientras que LOPD te decía qué se tenía que hacer, GDPR es más abierto “y mucha gente se ha sentido huérfana. Y lo que están haciendo muchas compañías es acudir a la metodología referencial de Leet, que está disponible en la web para sui descarga, y utilizar algunos de nuestros niveles como modelo de referencia. Y la parte buena es que les sirve para trabajar con terceros, porque les pueden pedir que cumplan con el nivel C de Leet, que es lo que yo me estoy aplicando a mí mismo”. Recuerda Ramos que uno de los retos que tienen los proveedores es el tener que estar respondiendo cuestionarios de medidas de seguridad de sus diferentes clientes. Lo fácil, dice Ramos, es calificarme y entregar a mis clientes mi nivel de seguridad validado, y no perder más tiempo en eso. Se trata, en definitiva, de que cada uno se dedique a su core de negocio y pueda garantizar, a golpe de vista, la seguridad de sus servicios.