Red Seguridad 092

red seguridad primer trimestre 2021 83 empresa entrevista “Pinakes proporciona la evaluación más completa posible de todos los aspectos de ciberseguridad de los proveedores de entidades financieras” Pinakes será también mejor para los proveedores porque, al fin y al cabo, ha- blamos de un proceso que aligera muchí- simo las necesidades de due dilligence . Básicamente porque, en lugar de tener un proceso de este tipo en la parte de ci- berseguridad por cada entidad, pasan a tener uno solo. A grandes rasgos, ¿en qué consiste este proyecto? HC: Como decíamos, uno de los requisi- tos de la regulación de la EBA es verificar los niveles de ciberseguridad de los pro- veedores. Una de las opciones que ofrece la normativa es que las entidades hagan esta verificación mediante una califica- ción de un tercero externo, y ahí es donde encaja Pinakes. En el servicio intervienen cuatro acto- res: el propio hub , las entidades adheri- das, los proveedores y los evaluadores. Estos últimos son empresas de auditoría que cumplen unos requisitos y que están homologadas por el propio Pinakes. El flujo del proceso comienza cuando la entidad financiera va a contratar un servi- cio con un proveedor. En ese caso, una de las opciones que tiene la entidad para verificar la seguridad de su proveedor es pedirle su calificación en el hub . Es el pro- pio proveedor el que, una vez consultado a Pinakes qué evaluadores están homo- logados, elige y contrata a aquel que es de su elección en una relación bilateral ajena al hub . La empresa elige al auditor que quiera y tendrían un contrato al margen del hub . En el momento en el que haya finalizado la auditoría, el propio proveedor presen- tará el resultado y, con ello, se le otorga una calificación. Dicha calificación la publicamos en la plataforma que da soporte a todo el servicio y estaría a disposición de todas las entidades adheridas, de manera que pueden saber qué proveedores tienen determinada calificación para un servicio concreto. Es decir, el proveedor no tie- ne que volver a pasar por el proceso de calificación en caso de que otra entidad financiera adherida a este servicio quiera contratar el servicio auditado. ¿Qué criterios tiene que cumplir un eva- luador para formar parte de Pinakes? AR: Básicamente, hemos hecho un es- quema de homologación equiparable al que ha propuesto la Comisión Euro- pea para la certificación de seguridad en cloud o al que pide la autoridad de Luxemburgo para la certificación de protección de datos. Es un marco que coge lo mejor de los dos mundos, que es, por un lado el ISAE 3000, que es un estándar que permite emitir los informes de tipo SOC 2; y por otro lado, la ISO 17065, que permite la certificación de producto y es la que utiliza el Esquema Nacional de Seguridad como marco de referencia. Juntando esos dos mundos, hemos creado un marco de condiciones que tienen que cumplir los evaluadores, que abarca competencias, responsa- bilidad sobre los informes emitidos, in- dependencia respecto de los clientes, capacitación del personal que realiza las funciones, permitir la supervisión por parte del hub y de las entidades finan- cieras, así como el supervisor, etcétera. Estamos viendo que las entidades que estarán dentro de este esquema son las auditoras que conocemos típicamente, como las Big Four más todas las que están haciendo en España informes de tipo SOC 2. Aparte de eso, también como LEET Se- curity, optaremos a esa homologación por tener la condición de certificadora 17065 y además estar reconocida por ENISA para aspectos de seguridad. ¿Cuál será el papel de LEET Security una vez puesto en marcha el proyecto? AR: Este es un tema que hemos revisado con mucho cuidado por temas de com- petencia. Por un lado, LEET Security es la licenciataria de la metodología de evalua- ción, lo que conlleva una serie de trabajos relacionados con el mantenimiento y la evolución del referencial. Y por otro, actua- remos como evaluador homologado en las mismas condiciones que el resto. A partir de ahí, somos uno más en la ecuación. Además de formar parte de Pinakes, ¿las entidades financieras llevarán a cabo otro tipo de contrataciones o eva- luaciones con terceros para mantener cierta independencia del proyecto? AR: Hay que tener en cuenta que el ser- vicio de Pinakes sirve para la evaluación de aspectos de ciberseguridad. Pero cuando una entidad hace un proceso de due dilligence , tiene que incluir otros aspectos en la ecuación, no solo ciber- seguridad. Lo que busca el hub es alige- rar esa parte del proceso, pero las en- tidades financieras tendrán su toma de decisión y su proceso de due dilligence que deberá ser más completo.