Red Seguridad 86

60 red seguridad tercer trimestre 2019 A juicio de Pérez, de Mapfre, "hay que incorporar mecanismos que per- mitan regular la eficacia de los servicios que se han pactado con el proveedor". Esto es, apuntó: "desde que se esta- blece el contrato, hay que adaptar los acuerdos de nivel de servicio ( service level agreement , SLA) y forzarse a revisar periódicamente el cumplimiento de lo que se ha acordado entre ambas partes". Así también lo considera Escribano, de IBM, a quien le gusta entender los SLA como "algo compartido, y con distintos niveles y métricas". Sobre esto, además agregó: "No se puede exigir una métrica superior de lo que se tiene. Se trata de identificar los riesgos. En la seguridad hay una parte objetiva y otra subjetiva. Pasa lo mismo con un proveedor de cloud . Si tiene un gran ataque, la percepción de seguridad de la empresa cliente baja". Claro que también hubo invitados que se mostraron algo escépticos al hablar de los SLA, como Aguilar, de Ferrovial. "No confío mucho en ellos. Para mí, el papel lo soporta todo y estas mediciones te pueden dar una visión distinta a la realidad. Los indi- cadores por sí solos, no sirven para mucho", sostuvo la invitada. Definición de responsabilidades Ahora bien, según los presentes en el encuentro de trabajo, es funda- mental establecer en esos contratos las responsabilidades de cada parte. Para Escribano, de IBM, "es preciso conocer la matriz de responsabilidad, es decir, quién es el responsable de seguridad; pero también tener pro- cedimientos claros al respecto. Si se produce un incidente menor, hay que comunicarlo y resolverlo lo antes posi- Olga Sánchez Security and Governance Director de CaixaBank "Tenemos que ser capaces de buscar un marco común de acuerdo en la relación con los proveedores" ble; y cuando se trata de uno de mayor entidad, se debe comunicar, aislar y cortar el servicio incluso. Los proveedores tenemos que ayudar a identificar esas responsabilidades", sentenció la representante del gigante tecnológico. Uno de los aspectos en los que coincidieron los presentes fue la necesidad de estandarizar la forma en la que se mide el grado de seguridad de los proveedores. Pedro Pablo López gerente de GRC & PIC de RSI "Es necesario controlar cómo el proveedor participa en toda la cadena de gestión de un incidente para mejorar su resolución" cadena de suministro encuentro empresas Patrocinado por: