Leet Securiy

Este sello se define como un rating o clasificación de los servicios TIC en cuanto a su seguridad. Valora la fiabilidad, resiliencia y madurez en seguridad del servicio. Los niveles cuanto más altos implican:

  • Una menor probabilidad de que el servicio sufra un incidente
  • Una mayor capacidad para restaurar la normalidad del servicio en un menor tiempo

LEET Security proporciona una metodología, unos criterios y un listado de calificaciones otorgadas.

El proveedor, de acuerdo con una guía de calificación, se da una «puntuación» a las medidas de seguridad integradas en la construcción y operación de un servicio TIC. Esta puntuación, convenientemente documentada, será valorada por LEET Security pudiendo incluir auditorías in situ.

La puntuación se otorga a cada una de las tres dimensiones de la seguridad de la información: confidencialidad, integridad y disponibilidad. Cada dimensión se califica en uno de 5 niveles (A-E), siendo A el más elevado y E el más básico. Se valora cada dimensión en función de las medidas de seguridad y de continuidad implementadas.

Existen también calificativos adicionales para el cumplimiento de normativa específica: LOPD(+),PCI DSS (*) y próximamente el Esquema Nacional de Seguridad (ENS)

La calificación PASSED indica que aunque el proveedor supera al menos con un nivel E las tres dimensiones, no desea mostrarlo de forma explícita.

LEET Security también informa a los que vayan a contratar un servicio de los niveles de seguridad que deben exigir.

Códigos éticos, de conducta o de buenas prácticas

El servicio no se encuentra adherido a ningún código ético o de conducta, sin embargo integra en sus criterios las normativas, estándares y mejores prácticas internacionales.

Requisitos necesarios para su cumplimento

El proveedor debe formar a 2 personas por servicio en el proceso.

El proceso comienza con una auto-declaración tutelada en la que el proveedor selecciona el nivel en el que desea calificar su servicio. Después elabora una memoria en la que define cómo cumple con los controles requeridos para dicho nivel. LEET Security la audita para verificar el nivel propuesto.

La metodología define más de 850 controles entre generales, de confidencialidad, de integridad y de disponibilidad, a los que se añaden controles de LOPD y de PCI DSS. Dependiendo del nivel (A-E) elegido para cada dimensión de la seguridad el proveedor del servicio debe justificar el cumplimiento de:

  • Los controles generales para ese nivel
  • Los criterios específicos para cada dimensión en el nivel elegido
  • Los controles LOPD y PCI DSS si opta también por alguna de estas calificaciones

Pasos para su obtención

Rellenar el formulario para que LEET Security se ponga en contacto.

Firmar un contrato con LEET Security que regula las normas de funcionamiento del sistema.

Recibir formación sobre el esquema de calificación y sus componentes, así como sobre las fases del proceso.

Enviar una memoria que LEET Security evaluará en detalle, solicitando información adicional si procede y verificando in-situ mediante una auditoría parcial/de alcance limitado, el cumplimiento de los aspectos más relevantes.

Se le asigna el sello con el nivel de calificación resultante del proceso y se publica.

Seguimiento durante el año de validez de la calificación, en el cual se monitoriza todo lo que pueda modificar la calificación (cambios estratégicos, tecnológicos, de mercado, incidentes…). En este período el servicio puede ser objeto de:

  • Auditorías aleatorias exhaustivas
  • Vigilancia digital, incluyendo canal de denuncias por parte de los usuarios de los servicios calificados
  • Obligación del proveedor de notificar a LEET Security cualquier circunstancia o modificación que pueda afectar a la calificación

Renovación

Transcurrido un año tras la calificación, y mediante un proceso similar al alta, se deniega u otorga la renovación con la calificación correspondiente. La documentación necesaria se debe enviar 15 días antes de que termine el contrato.