GESTIÓN DE PROVEEDORES: ESTRATEGIA CLAVE DE LA SEGURIDAD EMPRESARIAL

ENTORNO DE LA GESTIÓN DE PROVEEDORES 

En la actualidad, incluso las empresas más pequeñas tienen asociaciones con terceros con quienes comparten datos administrativos, económicos/financieros y comerciales, convirtiendo a los terceros en componentes integrales de los procesos empresariales. 

Es evidente que es necesario elegir cuidadosamente a los proveedores, incluso, y sobre todo, a los no tecnológicos. Un proveedor que preste poca atención a la seguridad de la información y de los sistemas podría poner en riesgo lo que comúnmente se conoce como la «postura de seguridad» de una empresa cuando está conectada a sus sistemas. 

Hoy en día, muchas empresas, incluso las grandes que realizan inversiones importantes en seguridad de la información, han sufrido graves ataques debido a la vulnerabilidad de un socio. Aunque ya es algo pasado, el ataque a Target fue pionero en este aspecto. Target es una cadena de grandes almacenes en Estados Unidos que perdió cientos de millones de dólares debido a una vulnerabilidad introducida por un técnico de mantenimiento de refrigeradores. 

Desafortunadamente, no podemos confiar en la «realidad» que se muestra en series de televisión y películas. Es bastante raro que, frente a los ciberataques, aparezcan calaveras rojas en las pantallas de las personas afectadas. Según un estudio reciente de IBM Security, se estima que el tiempo promedio necesario para identificar y contener una violación de datos es de 287 días. Por lo tanto, es más probable que detectemos un problema cuando ya haya alcanzado dimensiones alarmantes. 

Teniendo en cuenta que la tendencia de los ciberataques sigue aumentando, es apropiado definir un nuevo paradigma de elección y colaboración con terceros, para no frustrar las inversiones en seguridad y mantener el control de la postura de seguridad de la empresa. 

Para abordar este problema, hemos desarrollado un marco integral para la gestión de terceros, estructurado en las siguientes tres fases: 

 

FASE 1: SELECCIÓN DE PROVEEDORES 

La fase de selección se utiliza para calificar al proveedor en cuanto a aspectos de seguridad. 

Calificar a un proveedor significa evaluarlo adecuadamente para poder tomar decisiones informadas con respecto a la colaboración, que puede variar desde el rechazo hasta una colaboración especialmente controlada (ver Fase 2: gestión de contratos) o finalmente una colaboración monitorizada según cronogramas de procesos más flexibles. 

La calificación ayuda a definir el nivel de control que se debe formalizar en las cláusulas contractuales específicas de seguridad. 

Esta fase incluye dos pasos que se pueden resumir de la siguiente manera: 

1. Evaluación de la postura de seguridad del proveedor: esta es una fase muy importante que guía y dirige la implementación de todo el marco. Según el tipo(s) de colaboración planificada, se requiere una autoevaluación de los controles de seguridad adoptados a partir de marcos de referencia y estándares. Con este propósito, se desarrolló Riskout, un sistema que gestiona todo el proceso de evaluación en modalidad en línea. 

 

1. Contratualización: El resultado de la evaluación de la postura de seguridad debe generar la conciencia necesaria en la elección. En este caso, los casos son innumerables y están dictados por múltiples factores que pueden influir en la decisión final. Por ejemplo, un proveedor puede resultar débil desde el punto de vista de la seguridad, pero estratégico o no fácilmente reemplazable por otros mejores. Por esta razón, de acuerdo con los resultados obtenidos con Riskout, se formulan cláusulas contractuales específicas para proteger los activos de información de la empresa, que deben definirse según el nivel de riesgo introducido por el proveedor. 

 

 

FASE 2: GESTIÓN DE CONTRATOS 

La fase de gestión de contratos se lleva a cabo durante toda la duración del contrato y su objetivo es identificar el perímetro de acceso del proveedor, regularlo y verificar que el proveedor esté actuando de acuerdo con el acuerdo contractual. 

Se divide en los siguientes puntos: 

1. Identificación del perímetro: se identifican los sistemas e información a los que el tercero necesita acceder. 

1. Control de acceso: se definen perfiles de acceso para todo el personal (que debe ser conocido) que necesita acceder y se establecen métodos de control. 

1. Auditoría: con una periodicidad definida de acuerdo con las evaluaciones de la Fase 1, se establece un plan de auditoría del proveedor que posteriormente se puede ajustar según las evidencias recopiladas. 

 

FASE 3: FIN DE CONTRATO 

Además de los aspectos relacionados con posibles transferencias o migraciones de datos/sistemas, esta es la parte conceptualmente más sencilla de gestionar en la relación. Se refiere a la eliminación rápida de los derechos de acceso de todo el personal del proveedor a los sistemas de la empresa. 

El proceso descrito hasta este punto también se puede aplicar a colaboraciones que ya están en marcha, modificando si es necesario algunos cronogramas de implementación. 

Por ejemplo, la fase de selección de proveedores se puede llevar a cabo presentando la autoevaluación del proveedor con RiskOut; la fase de contractualización se puede posponer al momento de renovar el contrato (si está previsto y se desea) o se puede gestionar mediante adecuados anexos contractuales. 

Las fases de gestión de contratos, si aún no se han abordado, se pueden (y deben) llevar a cabo de inmediato en lo que respecta a la identificación del perímetro y el control de acceso, con el tiempo determinado por la aceptación de las cláusulas para la parte de control/auditoría. 

 

UN PASO CLAVE EN LA SEGURIDAD DE LA INFORMACIÓN Y EL CUMPLIMIENTO NORMATIVO 

La correcta gestión de la relación con nuestros propios proveedores forma parte de un tema más amplio y general de la gestión de riesgos de seguridad de la información, un tema cada vez más central en las regulaciones nacionales e internacionales (por ejemplo, en DORA o NIS2) a las cuales gran parte del sector industrial y de servicios deberá adaptarse. Por lo tanto, se recomienda que las empresas activen este control lo antes posible, con el objetivo conjunto de aumentar su «postura de seguridad» y comenzar el proceso de cumplimiento de las próximas regulaciones a tiempo.