Red Seguridad 085

red seguridad segundo trimestre 2019 51 gestión opinión proveedor se incrementa, como mínimo, un 15 por ciento. Vistas estas cifras, ¿podemos seguir permitiéndonos gastar dece- nas o centenas de miles de euros en evaluar de manera individual a los proveedores? Creo que no. No está justificado en ningún caso y es urgente que demos el paso de con- fiar en mecanismos de evaluación de terceros. Eso sí, que sean de confianza y que lleven a cabo una evaluación rigurosa, detallada, imparcial e independiente de la robustez de las medidas de seguri- dad que implanta el proveedor del servicio; y diría más, que se respon- sabilicen de que dicha evaluación es adecuada. Referencia 1.  Estudio Outsourcing servicios IT . Whitelane Research y la con- sultora Quint Wellington Redwood h t t ps : / /www. eu r opap r e s s . e s / economia/noticia-57-grandes- empresas-espanolas-ya-usa-tecno- logias-robotica-iot-inteligencia-artifi- cial-20181116122552.html Un estudio reciente de Forrester permite mostrar la rentabilidad de utilizar un mecanismo de este tipo frente a la tradicional utilización de un método propietario basado en baselines de seguridad específicos de nuestra organización y emplean- do medios propios para la evaluación de los terceros. Las cifras no dejan lugar a duda: – El retorno de la inversión es de un 325 por ciento. – El payback (período en el que se recupera la inversión) es de menos de tres meses. – El proceso de evaluación se acele- ra en un 75 por ciento. – Los ahorros promedio por provee- dor/ tercero crítico son de 6.000 euros. – La productividad del equipo dedi- cado a la evaluación de riesgo Gracias a un método común de medición de la seguridad, los que ofrecen algún servicio pueden compartir con sus usuarios su nivel de protección con el consiguiente ahorro para todas las partes. hay países en los que la velocidad se mide en millas por hora y otros en los que se utilizan los kilómetros por hora). De esta forma, lo que los Estados tienen que hacer es simplemente establecer el límite de velocidad para gestionar el riesgo de accidentes en cada tramo. Por tanto, si trasladamos esta solución a nuestro problema, lo que tendríamos que hacer sería encontrar un mecanismo eficiente sobre el que exista un consenso suficiente para medir el nivel de seguridad de los servicios que usamos de terceros. Medición de capacidades Para este problema existen varios acercamientos, pero en mi opinión, los mecanismos de medición de capacidades en (ciber)seguridad son los que más se aproximan a la solu- ción que proporciona la medición de la velocidad. Normalmente, al no tra- tarse de una variable continua, estos mecanismos lo que hacen es definir categorías en función de una serie de variables objetivas (por ejemplo, oro-plata-bronce, alto-medio-bajo, A+/A/B/C/D o cualesquiera otras). Utilizando este tipo de mecanis- mos, que incorporan tanto la madu- rez de los procesos como la robus- tez de las medidas implementadas, podemos conocer de manera efi- ciente el nivel de capacidades de un tercero en la protección de nuestra información o sistemas. Ese conoci- miento lo podemos contrastar con el nivel que necesitamos en función de la criticidad del proceso para noso- tros y de nuestra estrategia de ges- tión del riesgo; simplemente tenemos que mapear nuestros requisitos de seguridad con dichas categorías del sistema de medición de capacidades de ciberseguridad. De esta manera no es necesario que cada usuario audite a todos sus proveedores de manera individual (lo cual, por otra parte, es imposible tanto en tiempo como en recursos), sino que, gracias a un método común de medición de la seguridad, los que ofrecen algún servicio pueden compartir con sus usuarios, de una manera rápida, su nivel de protección con el consi- guiente ahorro para todas las partes.