Hace un par de años, Leet Security presentó el estudio Empresas y Ciberseguridad, el cual ponía de manifiesto que una de cada cinco compañías que habían sufrido un ataque informático confirmó que este se había producido a través de los proveedores con los que trabajaba. Desde entonces hasta ahora esa cantidad de organizaciones afectadas ha ido en aumento, hasta el punto de que la seguridad de la cadena de suministro, es decir de los diferentes proveedores a través de los que pasa la información de una compañía, se ha convertido en una auténtica preocupación. Por ello muchas empresas han optado por llevar a cabo procesos de supervisión y calificación de proveedores que permitan conocer el grado de protección de su información cuando la gestionan terceros.
Sobre este tema versó la mesa redonda que organizó la revista RED SEGURIDAD, en colaboración con Leet Security, con el objetivo de proporcionar algo de luz a este asunto. Para ello, el evento contó con la presencia de Carolina Escribano, Cloud Technical Sales Manager de IBM; Luis Herrero, responsable para el sector de Banca y Seguros de SAP; Olga Sánchez, directora del área Security and Governance de CaixaBank; David Pérez, jefe del departamento de Control y Optimización de la Dirección Corporativa de Seguridad y Medio Ambiente de Mapfre; Maica Aguilar, gerente de Identity Management & Compliance en la dirección de IT Security de Ferrovial; Javier Martínez, Sales Engineering Manager de Google Cloud; Pedro Pablo López, gerente de Gobierno, Riesgos y Compliance & Protección de Infraestructuras y Continuidad de Rural Servicios Informáticos (RSI); y Antonio Ramos, CEO de Leet Security.
En la mesa, por tanto, estaban representadas tanto clientes de tecnologías externas (CaixaBank, Mapfre y Ferrovial) como compañías proveedoras de servicios cloud y no cloud (IBM, SAP, Google y RSI), así como la agencia de calificación de seguridad Leet Security.
Para comenzar, los tres primeros compartieron su visión general sobre la cuestión, que se puede resumir en las palabras de Aguilar, de Ferrovial: «Hasta ahora las empresas hemos estado más preocupadas por la seguridad interna, dejando para más adelante lo que está fuera de casa. Ahora ya no puede seguir siendo así, porque la regulación nos obliga a tener un control tanto de puertas para dentro como para fuera».
De la misma manera se pronunció Sánchez, de CaixaBank: «Las empresas, si quieren seguir siendo competitivas, han de ser ágiles, y para eso cada vez deben confiar tanto en las herramientas de los grandes proveedores como en otras de pequeñas empresas de nicho. Ahora, gracias a la regulación, hay que ampliar nuestra visión y alcance hasta llegar a esos proveedores para saber lo que están haciendo para gestionar su seguridad».
En palabras de Pérez, de Mapfre, todo ello supone un aspecto «retador» en un tema en el que todavía las compañías no están duchas. «Entre todos tenemos que ayudarnos a construir un proceso sólido, seguro y flexible. La seguridad debe entenderse como algo integral, desde el punto de vista físico y lógico; pero también ha de incluir la componente externa, el proveedor como figura clave en cualquier proceso», manifestó este profesional.
Igualmente piensa Ramos, de Leet Security, para quien la seguridad de la cadena de suministro supone «un escenario retador» para las empresas, a pesar de que es algo sobre lo que comenzaron a trabajar hace más de cuatro años, «con poco éxito» por aquel entonces. En cambio, ahora «la tendencia es que la seguridad en los proveedores cobre importancia. De hecho, el Reglamento General de Protección de Datos y la legislación que regula el sector financiero están empujando mucho en este sentido», afirmó Ramos. Eso sí, puntualizó, «como antes no se había hecho nada o en todo caso de manera muy vaga, el desafío en estos momentos es ver cómo conseguir de verdad asegurar la cadena de suministro de manera eficiente».
Seguridad en el diseño
Por su parte, los proveedores presentes en la mesa también mostraron la importancia que tiene la seguridad para ellos. No en vano, algunas de estas firmas ya incluyen la seguridad en los servicios que diseñan para sus clientes. Por ejemplo, para IBM, «la fase de diseño y control de la seguridad ésta imbricada desde el propio diseño de la nube. Es más, cada vez que se hace un cambio en ese diseño, se revisan e incluyen las medidas de seguridad necesarias para que el servicio pase por todas las fases y cumpla los estándares pertinentes», según subrayó Escribano.
Lo mismo sucede con Google Cloud, aseguró Martínez: «Como proveedor de servicios de nube pública, la seguridad es una parte integral de nuestra infraestructura. Es más, dependiendo del tipo de servicio, esos niveles son mayores o menores. Los hay tan variopintos como montar un servidor en la nube donde uno puede gestionarlo todo para evitar vulnerabilidades, o contratar una solución de gestión de identidades o de correo electrónico».
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?
Archivado en:
