Red Seguridad 089

red seguridad segundo trimestre 2020 67 cadena de suministro opinión recursos de auditoría de una forma mucho más eficiente en los aspectos que tengan un mayor riesgo. En resu- men, pasamos de una situación con múltiples respuestas a cuestionarios más auditorías que solo valen para un cliente, a otra situación en la que realizamos una única auditoría que mostramos a todos nuestros clientes. De hecho, la eficiencia en los procesos de cumplimiento puede ir mucho más allá. Además de integrar la calificación de Leet Security y la certificación del ENS, puede incluir también certificaciones ISO/IEC, como las de la familia 27K, 22301, etc., o incluso, procesos de auditoría SOC2 tipo II. Al fin y al cabo, el nivel de auditoría de un servicio siempre es el mismo y lo único que hay que hacer es ir enfrentándolo con distin- tos referenciales, lo que se puede hacer uno a uno o abordando proce- sos integrados. En definitiva, tras diez años de vida de Leet Security, en los que hemos ido creciendo a la vez que el uso del ENS, creemos que lo mejor para todo el sector es apostar por la estandarización de los mecanismos de evaluación como única vía para crear un ecosistema en el que poda- mos confiar los unos en los otros, gracias a la transparencia sobre el verdadero nivel de seguridad de los servicios que ofrecemos todos. Lo contrario nos llevará a un despilfarro de recursos (que por desgracia no vamos a tener) y, lo que es peor, para que al final solo sepamos que podemos confiar sobre unos cuan- tos, que serán a los que llegue con mis recursos limitados. La estanda- rización no es UNA opción, es LA opción. Por desgracia, en el sector privado no existe nadie con esa capaci- dad prescritptiva y es imposible que las organizaciones consensúen los requisitos de seguridad para caso de uso. Básicamente, porque la eva- luación y la gestión de riesgos de cada organización es "personal e intransferible", e incluso, organiza- ciones muy parejas tendrán análisis del nivel de riegos diferentes. Por eso, la única forma de estandarizar el proceso es consensuar el meca- nismo de medición (el sistema métri- co) a utilizar, que es lo que ofrece la calificación de Leet Security: una forma de "medir" el nivel de seguri- dad de un servicio. De esta forma, el usuario solo tiene que confrontar el nivel de protección con su nivel de riesgo intrínseco y elegir aquel nivel de seguridad necesario para alcanzar el objetivo de riesgo que se hubiera marcado. Y si ENS y la calificación aportan mucho por separado, no digamos ya conjuntamente. En primer lugar, la posibilidad de abordar conjuntamen- te ambas acreditaciones en un único proceso de auditoría, mucho más eficiente desde una perspectiva de costes para el propio proveedor. Este pasa de responder un cuestionario a cada uno de sus clientes y de reali- zar algunas auditorías para aquellos clientes que se las solicitan, a rea- lizar una única auditoría válida para todos sus clientes, tanto en el sector público como el privado. En segundo lugar, es mucho más eficiente para el cliente de ese proveedor, que no tiene que invertir en conocer el nivel de seguridad del proveedor porque viene indicado por la certificación y calificación, y puede dedicar los reto de la gestión de riesgos de ter- ceros, ya que permiten a los compra- dores de servicios basados en tec- nología conocer el nivel de seguridad de dichos servicios, incluso antes de contratarlos. Si quisiéramos abordar esto con un método propietario sería inviable –pedir auditar a un provee- dor con el que todavía no estamos trabajando se antoja una quimera y un coste absurdo si luego no acaba- mos contratándolo–. De hecho, esta similitud en la aplicación a la gestión de riesgos de terceros es el principal motivo que nos llevó, como agencia de calificación, a apostar por el ENS y abordar el proceso de acreditación para poder ofrecer también su certi- ficación. Evaluación de terceros La magnitud del reto que supone la necesidad de evaluar a todos los terceros que acceden a nuestros sistemas o que gestionan nuestra información en sus propios sistemas hace que la única manera viable sea la estandarización de los mecanis- mos de evaluación. Si a la magnitud del problema añadimos la coyuntura económica a la que nos vamos a tener que enfrentar en los siguien- tes meses, llegaremos rápidamente a la conclusión de que evaluar a mis proveedores con un mecanismo personal propio, que solo sirve para mí, es un lujo que muy difícilmen- te va a tener justificación. Máxime cuando existen métodos que ofre- cen resultados equiparables con una dedicación de recursos ínfima, com- parada con la labor artesana que supone utilizar mi propio mecanismo de evaluación. Ojo, hablamos de un mecanismo de evaluación, no de un proceso de gestión de riesgo de ter- ceros que, obviamente, tendrá que seguir siendo específico de cada organización. En el sector público, esta labor la realiza el ENS que, como decíamos, agrupa los diferentes escenarios alre- dedor de tres categorías, de forma que los usuarios piden el cumpli- miento de una de dichas categorías y el proveedor puede acreditar por su cuenta el cumplimiento de las medi- das correspondientes a la misma. Para crear un ecosistema de confianza, lo mejor es estandarizar los mecanismos de evaluación especial