Red Seguridad 089

66 red seguridad segundo trimestre 2020 cadena de suministro opinión Antonio Ramos CEO y socio fundador de Leet Security La evaluación de terceros: Año 10 d.ENS de seguridad de los servicios que ofrecen mediante la estandariza- ción de los requisitos en las ya mencionadas categorías. De esta manera, si un organismo públi- co dice que el servicio tiene que cumplir con los requisitos de la categoría media, cualquier provee- dor puede irse al Real Decreto y extraer cuáles son las medidas que debe implementar en dicho servicio de manera inequívoca. Adicionalmente, el ENS aporta otra característica igual o más impor- tante, y es que tiene asociado un esquema de certificación por el que unas entidades acreditadas (entre ellas, la propia Leet Security) emiten informes y certificados de cumplimiento con el Esquema, de manera que los organismos públi- cos no tienen que validar por sí mismos que los proveedores cum- plen con los requisitos exigidos, sino que es el proveedor el que se encarga de su propia auditoría. Leet Security, por su parte, hace lo propio, pero para cualquier tipo de organización, sector y geografía. Esta capacidad deriva del carácter no prescriptivo del esquema. Es decir, al establecer simplemente los niveles, da la libertad para que cada organización asocie dichos niveles de seguridad a sus niveles de riesgo y criticidad a su criterio. Digamos que, en este sentido, da más libertad, pero manteniendo la transparencia en cuanto al nivel de seguridad del sistema evaluado. Y, al igual que el ENS, la calificación de Leet Security cuenta también con una auditoría in situ y un distin- tivo público al que denominamos "Sello" en el que se refleja el nivel de seguridad alcanzado, siendo el propio proveedor el que se encar- ga de gestionar su propia auditoría y asumir el coste de la misma. Estas características hacen que el ENS y Leet Security, cada una en su ámbito, sean óptimas para resolver el tiene el ENS. Leet Security lo que busca es "simplemente" proporcio- nar una escala compartida por todos los agentes que permita entender el grado de seguridad. Luego, cada parte, en función de sus necesidades y según lo requiera la ocasión, será la que decida cuál es el nivel adecuado de seguridad que va a requerir. Otra circunstancia pareja es la defi- nición de niveles, en la que el ENS opta por tres categorías (baja, media y alta), mientras que Leet Security apuesta por cinco (empezando por la D y terminando por el A+) y la consideración de varias dimensiones. En este caso, es el ENS el que tiene cinco (confidencialidad, integridad, disponibilidad, trazabilidad y auten- ticidad), siendo Leet Security la que se queda en tres (la famosa triada de confidencialidad, integridad y dispo- nibilidad). ENS y Leet Security Pero no acaba ahí. Las vidas para- lelas han llegado hasta el ámbito de la gestión de riesgos de terceros, en el que ambos esquemas son ampliamente utilizados. Podríamos decir que el ENS para el entorno de administraciones públicas españolas y Leet Security para el entorno priva- do, y con un carácter más internacio- nal. ¿A qué se debe esta evolución? Básicamente, de unos años a esta parte nos hemos dado cuenta de que tan importante como mejorar el nivel de seguridad de nuestros sistemas es asegurarnos de que el nivel de seguridad de todos aquellos terceros de los que dependemos (en especial proveedores, pero no exclusivamen- te) esté alineado con el nuestro, y que no son el eslabón más débil de la seguridad de nuestros sistemas. Resulta que para dar respuesta a esta necesidad ambos esquemas se apoyan y complementan: El ENS aporta un marco de refe- rencia en el que los proveedo- res de los organismos públicos pueden entender las necesidades E l 29 de enero de 2010 se publicaba en el BOE el Real Decreto 3/2010, que alumbraba el Esquema Nacional de Seguridad (ENS), y a finales de ese mismo año veía la luz Leet Security y la versión inicial de su esquema de calificación de ciberseguridad. El ENS nació con el objetivo de crear "las condiciones necesarias de confianza en el uso de los medios electróni- cos", mientras que la misión de Leet Security es, desde el principio, "dotar a las empresas y a sus proveedores de un mecanismo de calificación efi- caz para conocer, acreditar y mejorar los niveles de ciberseguridad y mini- mizar los riesgos". Ambos mecanismos persiguen construir la necesaria confianza sobre las tecnologías de la infor- mación: el ENS mediante la defini- ción de las condiciones mínimas que deben reunir dichos sistemas en fun- ción de su criticidad y Leet Security a través de la transparencia sobre el nivel de ciberseguridad que alcanzan los sistemas por la robustez y madu- rez de las medidas implementadas. La diferencia fundamental es que Leet Security no tiene –ni quiere– la capacidad prescriptiva del legislador para decidir cuáles son las medidas en función de la criticidad, como sí especial