'Rating' para la cadena de suministro

La española LEET Security quiere convertirse en el ‘Moody’s’ de la ciberseguridad

La compañía, que cuenta con 1.400 controles, ofrece una calificación específica del nivel de seguridad de los servicios TIC

Eduardo Sánchez, director general y socio de LEET Security.
Eduardo Sánchez, director general y socio de LEET Security.

Las calificaciones crediticias de la agencia Moody’s, que sube o baja sus rating en función de los riesgos que presentan las compañías a nivel financiero, son de sobra conocidas y reconocidas en el mundo de los negocios. Pero, ahora quédense con otro nombre: LEET Security, una joven empresa española que se ha propuesto ser el Moody’s de la ciberseguridad. Llevan cuatro años en el mercado, y aseguran ser “los únicos en España y Europa” que ofrecen una calificación específica del nivel de seguridad de los servicios TIC. Una calificación que se otorga tras hacer una auditoría.

La empresa ya cuenta entre sus clientes con Ferrovial, Mapfre, Telefónica, El Corte Inglés, BBVA, Eulen, Suez, Minsait (Indra) y Accenture. “Tenemos más de 40 clientes, y en 2018 calificamos más de 50 servicios”, dice a Cincodías Eduardo Sánchez, su director general. El directivo explica que el objetivo de la empresa es dar seguridad y confianza a la hora de seleccionar un proveedor TIC y señala que cuentan con 1.400 controles relacionados con la confidencialidad, la integridad y la disponibilidad de los servicios, todos ellos obtenidos a partir de “los más rigurosos estándares, normativas y prácticas internacionales”.

El sistema de calificación de LEET Security está reconocido por la European Agency for Network and Information Security (Enisa) y está inscrito como mecanismo de confianza en el Instituto Nacional de Ciberseguridad (Incibe). Su calificación tiene un año de validez, pero durante ese plazo pueden hacer supervisiones aleatorias y cambiar el rating. Después, hay que renovarla.

“A través de nuestro sello, etiquetamos los diferentes servicios TIC en función de una evaluación rigurosa de las medidas de seguridad que incorporan, la fiabilidad del proveedor y los mecanismos de resiliencia aplicados”, continúa Sánchez. La calificación va de la D a la A+, siendo esta última la máxima seguridad. Por ejemplo, una calificación ‘ABD’ implica que el servicio tiene una calificación A en cuanto a su confidencialidad, B en integridad y D en disponibilidad.

Rentabilidad

El directivo defiende que la calificación de LEET Security presenta ventajas tanto para los proveedores de los servicios como para las empresas contratantes. “Para los primeros, simplifica el proceso de selección porque fomenta la transparencia, mejora el nivel de confianza de los clientes, aumenta la rentabilidad de inversiones en seguridad y permite segmentar la oferta. Para los segundos, reduce los costes de due diligence, facilita la comparación entre servicios, mejora la adecuación entre servicios y necesidades y permite conocer cambios durante la vigencia del servicio”.

Sánchez ofrece un dato para entender la importancia de esta calificación: “Según un estudio reciente de Ponemon Institute, el 56% de los ataques entran en las compañías por sus proveedores. “La calificación de los proveedores es algo esencial en el mundo de la ciberseguridad, donde contar con la máxima seguridad en todos los puntos de la cadena de valor de suministro es vital para las compañías. Pues por muchas medidas de seguridad que adopte una organización, si sus proveedores no adoptan el mismo nivel se pueden convertir en su eslabón más débil y en la puerta de entrada a debilidades e incidentes que pueden ocasionar importantes pérdidas económicas y acabar con su reputación”.

En su opinión, el incremento de ciberamenazas (sobre todo tras el wannacry) y la presión que ejerce el cumplimiento del Reglamento General de Protección de Datos (RGPD), vigente desde mayo de 2018, están obligando a las empresas a tomar conciencia en este tema. “Y ahí nuestra calificación puede ser una buena herramienta para sus planes de gestión del riesgo, pues por un lado permite conocer el nivel de capacidades de ciberseguridad de los servicios, y en consecuencia mitigar la exposición al riesgo, y por otra, demostrar el nivel de seguridad adoptado”.

Los impulsores de LEET Security defienden su sistema de calificación frente a la típica certificación ISO 27001 que muchas empresas exigen a sus proveedores. “Esta solamente acredita que la entidad dispone de un sistema de gestión de la seguridad, pero no les dice nada sobre aspectos tan necesarios como las políticas de contraseñas, si utilizan o no doble factor, la aplicación de los parcheos o la gestión de las vulnerabilidades”, dice Sánchez”.

La compañía factura hoy entre 200.000 y 250.00 euros al trimestre, el doble que a principios de 2018. La firma, que dedica el 7% de su facturación a I+D+i y tiene clientes también en Alemania, Holanda, Suiza y Norte de África, cuenta con un equipo de 15 personas. La empresa, de seis socios, ofrece también la herramienta de autoevaluación, Equalify, con la que ya se han realizado más de 200 autoevaluaciones. LEET Security ha sido también elegida por el Ministerio del Interior para desarrollar el protocolo de obligado cumplimiento para la protección de infraestructuras críticas.

Normas