Red Seguridad 86

58 red seguridad tercer trimestre 2019 cadena de suministro encuentro empresas es, contar con "unas guías básicas para cada sector con una base común que indique lo que hay que hacer en cada caso", apuntó–. A colación de este último tema surgió un nuevo reto. Sánchez, de CaixaBank sostuvo: "Tenemos que ser capaces de buscar un marco de acuerdo común en la relación con los proveedores". Para reforzar su idea puso un ejemplo: "Yo contrato esto y quiero esto, pero ¿quién asume los riesgos de que no se hagan las cosas?". En este punto, Ramos, de Leet Security, señaló que existe "una cierta obsesión" por estandarizar. "Hay cosas con las que sí se puede hacer, como la memoria, la capacidad en disco; pero no podemos estandarizar los requisitos mínimos". Por ejemplo, continuó, "en la industria automovilística no están estandarizadas las medidas de seguri- dad, cada uno decide la seguridad que quiere. No podemos estandarizar la manera en que cada uno se aproxima a su negocio y lo riesgos que quiera correr". López, de RSI, apuntó la necesidad de establecer modelos comunes en tres niveles: en el control de gobierno, en la gestión y en la operativa técnica para los servicios. "Así todos tendría- mos un grado de confianza adecuado y no gastaríamos recursos en inventar la rueda", sentenció. Desde el punto de vista de Aguilar, de Ferrovial, "el sector se irá estan- darizando en la medida en que las compañías clientes lo pidan". Y puso como ejemplo el Reglamento General de Protección de Datos, el cual ya está obligando a las organizaciones en ese sentido. "Tiene que haber certificacio- nes de seguridad para garantizar que los proveedores ofrecen un buen servi- cio, con el nivel que el cliente decida", destacó la invitada. Ahora bien, estos no fueron los úni- cos desafíos que se pusieron sobre la mesa. Pérez, de Mapfre, expuso otros tres. El primero es la necesidad de mejorar en "la relación de confian- za con los proveedores", más allá de la cumplimentación de un formulario donde siempre cada uno ofrece "la mejor versión de sí mismo". En segun- do lugar, y como respuesta a la estan- darización, propuso "la proporciona- lidad", con términos de los contratos acordes a los servicios que se ofre- cen. Finalmente, el invitado apuntó un hecho que se produce en ocasiones: "La empresa cliente puede establecer una serie de medidas que el proveedor debe cumplir, pero cuando este es muy grande y/o sin alternativas en el mercado puede imponer sus propias condiciones". Certificaciones En este punto, el debate derivó hacia un asunto crucial a la hora de trasladar a los proveedores las necesidades de seguridad de los clientes. Nos referi- mos a las certificaciones, que, a juicio de Ramos, de Leet Security, "siempre van a ser de requisitos mínimos, si bien hay que modularlos en función del servicio". Así también opinó López, de RSI, quien puso el acento en la necesidad de medir el alcance. "Cuando habla- mos de certificación, es importante el alcance. Una empresa puede decir que tiene la ISO 27000, pero la cues- tión es en qué alcance", se preguntó. "Para el modelo que hemos defini- do en RSI hemos establecido, a su vez, diez modelos de madurez sobre temas concretos. De esta forma, no se rompe la relación con el proveedor, sino que se establece con él un plan de mejora", añadió. También hubo quien manifestó que las certificaciones únicamente aportan valor en el momento en el que se con- ceden. Para Sánchez, de CaixaBank, "la certificación es estática". "A mí me interesa que el proveedor sea capaz de gestionar las incidencias en tiempo y forma, y que cuando tenga un fallo me lo comunique. Hay muchas nor- mas de ciberseguridad, y a veces nos podemos quedar sin cumplir alguna, aunque el proveedor diga que lo esta- mos haciendo. Por eso es importante que fluya la comunicación", mencionó la invitada. Al respecto se pronunció Luis, de SAP, quien respondió que desde su empresa proporcionan las herramien- tas necesarias para que esa comunica- ción con el proveedor "sea fluida". De hecho, precisó: "Tenemos un módulo de gestión del riesgo para comunicar con terceros. En otras palabras, noso- tros damos la información y luego cada cliente pone sus requisitos mínimos". Más allá del intercambio de impre- siones sobre la certificación, durante el desayuno también se pusieron sobre la mesa otras formas de demostrar que un proveedor es seguro. Javier Martínez sales engineering manager de Google Cloud "Como proveedores de servicios de nube pública, la seguridad es una parte integral de nuestra infraestructura" Carolina Escribano Cloud Technical Sales Manager de IBM "En IBM, la fase de diseño y control de la seguridad ésta imbricada desde el propio diseño de nuestra nube" Patrocinado por: