Situaciones extraordinarias como la que vivimos actualmente requieren cambios en las dinámicas de la empresa que llevan aparejados un replanteamiento general de las estrategias organizativas para afrontar el presente y abordar el futuro. La necesidad de trabajar a distancia ha provocado que ideas como la implantación del puesto de trabajo digital o la contratación de servicios en entornos cloud se conviertan en objetivos empresariales prioritarios, dando lugar a adquisiciones de productos y servicios de terceros. También, la necesidad de un contacto más eficaz con proveedores de productos y servicios que hasta la fecha realizaban sus funciones in situ ha originado inevitables modificaciones contractuales en los medios de acceso y comunicación.
Empresa extendida
Todos estos cambios en las estrategias organizativas ocurren dentro de un concepto que ya había sido formulado antes como consecuencia directa de la globalización de la economía y los mercados: el de la empresa extendida, por el cual ninguna organización puede funcionar hoy en día como un ente aislado. En el escenario económico moderno, cualquier empresa necesita de proveedores, canales de distribución, partners y servicios externalizados para poder ser competitiva.
El correcto funcionamiento de la empresa extendida exige que partners y colaboradores tengan acceso a información y sistemas críticos, y así, mientras la productividad se extiende, también lo hacen las fronteras de la seguridad de la empresa y del campo de actuación del CISO. La contratación de productos y servicios de proveedores, así como las estrategias de externalización de procesos de negocio (BPO) y contratación de productos y servicios en entornos cloud amplían las fronteras del ecosistema de seguridad de la información de las empresas. Para cualquier responsable de seguridad, deja de ser suficiente proteger sus propias redes, servidores o aplicaciones, y asegurarse de que sus empleados no cometan errores que puedan exponer a la organización. En un entorno de empresa extendida, también es imprescindible que conozca el nivel de seguridad y riesgo que tienen todos aquellos que se relacionan con la organización y tienen acceso a ella, y así poder actuar sobre ellos, porque cuando la empresa delega funciones y da acceso a terceros, transfiere el riesgo, pero no la responsabilidad sobre la información y los servicios, incluida la del ámbito de la protección de datos personales.
Un tercero que tenga acceso privilegiado a la red de la empresa y que sufra un ataque en su sistema otorgará a sus atacantes el mismo acceso privilegiado a los sistemas de la organización. Por ello, se vuelve imprescindible evaluar el nivel de seguridad de los colaboradores para tomar decisiones sobre la necesidad y el grado de relación con cada uno de ellos y el tipo de controles que es necesario establecer. El perímetro empresarial que debe protegerse se extiende, ya que cualquier fallo de seguridad en los terceros que se relacionan con la empresa es una amenaza para la organización.
Valoración del Riesgo de Proveedores
La forma más eficaz de llevar a cabo esta evaluación es poner en marcha un programa de Valoración del Riesgo de Proveedores (Vendor Risk Management) con el objetivo de detectar los riesgos que supone la contratación de servicios y reducir su impacto. El Vendor Risk Managemente (VRM) se convierte en el proceso que garantiza que la utilización de proveedores de servicios, tecnologías y materiales no representa un riesgo inaceptable para el funcionamiento del negocio o un impacto negativo en sus resultados. Las tecnologías de VRM permiten a las empresas evaluar, monitorizar y gestionar su exposición al riesgo que suponen sus relaciones con terceros de quien reciben servicios y productos de TI o de cualquier otro que tenga acceso a la información de la empresa.
Para llevar a cabo un VRM eficaz, en primer lugar es necesario hacer un análisis lo más detallado posible de todos los proveedores y del tipo de datos y sistemas a los que tienen acceso. A continuación, hay que crear un equipo que diseñe la estrategia de seguridad de proveedores, que incluirá a personal de TI, de legal o gobierno corporativo y representantes de las líneas de negocio y operación que gestionen a los proveedores. A partir de aquí, se diseña el programa de gestión del riesgo de proveedores, que normalmente definirá tres o cuatro niveles según la criticidad de datos y aplicaciones a los que tengan acceso. El último paso es comunicar a cada proveedor los nuevos requisitos de seguridad.
La evaluación del riesgo para la seguridad de la información de proveedores no es un procedimiento sencillo, y en la mayoría de los casos es difícil obtener unos resultados útiles sin la intervención de profesionales especializados en los procesos de VRM por razones como:
- Falta de metodología o referencia que permita evaluar de forma objetiva el nivel de riesgo.
- Dificultad para verificar la exactitud de la información y de lo declarado por los proveedores en sus cuestionarios.
- Imposibilidad de comprobar la efectividad de los sistemas de seguridad implementados hasta que el riesgo se materializa.
Una vez evaluados los riesgos y establecidas las necesidades de control y protección, el responsable de seguridad tiene varios aspectos que anticipar en materia de seguridad antes, durante y en la finalización de la relación con un tercero que actúe de proveedor:
- Políticas y procedimientos de seguridad globales: donde se establecen las directrices generales para todos los productos y servicios de terceros.
- Proceso de homologación del proveedor: donde se deben establecer los requisitos que debe cumplir el proveedor en función del producto y servicio que ofrece.
- Contratación del proveedor: donde deben establecerse los requisitos específicos que tiene que cumplir el proveedor en el ámbito concreto del servicio, así como la firma de acuerdos de seguridad, confidencialidad y protección de datos.
- Supervisión del proveedor: donde se establezca mecanismos para realización de auditorías de cumplimiento, seguimiento de ANS e incluso realizar pruebas de continuidad conjuntas.
- Salida del proveedor: que refleje por un lado la salida ordenada del proveedor, así como la sustitución urgente del mismo por causas de fuerza mayor o brechas de seguridad que imposibiliten seguir prestando los servicios contratados.
Para solventar la dificultad para cualquier empresa de llevar a cabo el proceso de control de sus fronteras extendidas de seguridad, en Sothis ayudamos a implantar el modelo de gestión y supervisión de proveedores en términos de seguridad, continuidad y protección de datos personales, así como la realización de auditorías de cumplimiento sobre terceros, de forma que el responsable de seguridad pueda tener un cuadro de mando del cumplimiento en cuanto a las políticas y directrices marcadas desde el gobierno de seguridad, así como el cumplimiento de los términos específicos de seguridad fijados en el contrato.
