La digitalización de la economía, la Industria 4.0, la irrupción de Internet de las Cosas y, cómo no, la creciente regulación, ya sea sectorial (European Banking Association) o general (Reglamento General de Protección de Datos, en particular por la redacción del artículo 38 sobre encargados de tratamiento), hacen que no podamos obviar ni un minuto más la implantación de procesos de gestión de riesgo proveedor o de terceros (más conocidos por sus siglas en inglés: VRM, Vendor Risk Management, o TPRM, Third Party Risk Management).
Y es que, después de la inversión que hacemos en (ciber)seguridad para elevar nuestro nivel de protección, deberíamos asegurarnos de que todos los terceros que acceden a nuestros sistemas o que gestionan información nuestra cuentan con un nivel de seguridad, al menos, igual que el nuestro. Si no, ese tercero se convertiría en el eslabón más débil de la cadena y haría que toda esa inversión fuera inútil (de hecho hay estudios que hablan de que, en un 56% de los incidentes, el atacante no se ha dirigido a su objetivo en primer lugar, sino que ha utilizado a un tercero para tener éxito en su ataque).
Además, esta corriente no va a disminuir precisamente, ya que, según los últimos informes, los servicios de outsourcing tecnológico1 seguirán aumentando en los próximos años y experimentarán un mayor crecimiento en los servicios profesionales de energía, salud y bancarios. Es por ello que las organizaciones deben garantizar que sus proveedores cumplen con los estándares de seguridad que se requieren según el servicio contratado, el nivel de seguridad exigido y el sector al que pertenecen. La única forma de proteger una compañía frente a filtraciones por parte de sus proveedores es asegurar y garantizar la seguridad de todos en la cadena de suministros mediante dichos procesos de VRM.
Implantación de VMR
Cuando nos enfrentamos a la implantación de un proceso de gestión de riesgos de terceros, son muchas las decisiones que tenemos que tomar: ¿cuántos niveles de criticidad van a existir?, ¿qué requisitos de seguridad le vamos a pedir a cada nivel?, ¿cuáles van a ser los criterios para evaluar la criticidad?, etc. Pero ninguna tan trascendente como qué mecanismo de evaluación de cumplimiento vamos a utilizar.
Dado que no podemos pretender que ningún estándar recoja nuestro perfil de riesgo y nuestra estrategia para abordar el riesgo que no se quiere asumir, no va a existir una certificación o una acreditación estándar de mercado que nos permita asegurar que los terceros evaluados cumplen con las medidas de seguridad específicas que les requerimos.
Gracias a un método común de medición de la seguridad, los que ofrecen algún servicio pueden compartir con sus usuarios su nivel de protección con el consiguiente ahorro para todas las partes
¿Significa esto que nos vemos abocados a tener que solicitar a dichos terceros evidencias de sus medidas de seguridad o, en los casos de mayor criticidad, a tener que auditarlos nosotros mismos? Creo que no. Lo que tenemos que hacer es encontrar el consenso suficiente sobre cómo medir de manera eficiente el nivel de seguridad efectiva que existe en los servicios que queremos utilizar.
Si lo pensamos un poco, esta misma problemática la tenemos cuando, por ejemplo, queremos definir una limitación de velocidad en una carretera. Como no todas las carreteras son iguales y cada Estado tiene una estrategia diferente para reducir el nivel de riesgo de accidentes, nos encontramos con que cada vía (más aún, cada tramo) tiene una limitación distinta. Pero podemos gestionar esta complejidad de una forma sencilla: hemos encontrado una manera eficiente de medir la velocidad sobre la que existe un amplio consenso (aunque no global: hay países en los que la velocidad se mide en millas por hora y otros en los que se utilizan los kilómetros por hora). De esta forma, lo que los Estados tienen que hacer es simplemente establecer el límite de velocidad para gestionar el riesgo de accidentes en cada tramo.
Es urgente que demos el paso de confiar en mecanismos de evaluación de terceros
Por tanto, si trasladamos esta solución a nuestro problema, lo que tendríamos que hacer sería encontrar un mecanismo eficiente sobre el que exista un consenso suficiente para medir el nivel de seguridad de los servicios que usamos de terceros.
Medición de capacidades
Para este problema existen varios acercamientos, pero en mi opinión, los mecanismos de medición de capacidades en (ciber)seguridad son los que más se aproximan a la solución que proporciona la medición de la velocidad. Normalmente, al no tratarse de una variable continua, estos mecanismos lo que hacen es definir categorías en función de una serie de variables objetivas (por ejemplo, oro-plata-bronce, alto-medio-bajo, A+/A/B/C/D o cualesquiera otras).
Utilizando este tipo de mecanismos, que incorporan tanto la madurez de los procesos como la robustez de las medidas implementadas, podemos conocer de manera eficiente el nivel de capacidades de un tercero en la protección de nuestra información o sistemas. Ese conocimiento lo podemos contrastar con el nivel que necesitamos en función de la criticidad del proceso para nosotros y de nuestra estrategia de gestión del riesgo; simplemente tenemos que mapear nuestros requisitos de seguridad con dichas categorías del sistema de medición de capacidades de ciberseguridad. De esta manera no es necesario que cada usuario audite a todos sus proveedores de manera individual (lo cual, por otra parte, es imposible tanto en tiempo como en recursos), sino que, gracias a un método común de medición de la seguridad, los que ofrecen algún servicio pueden compartir con sus usuarios, de una manera rápida, su nivel de protección con el consiguiente ahorro para todas las partes.
Un estudio reciente de Forrester permite mostrar la rentabilidad de utilizar un mecanismo de este tipo frente a la tradicional utilización de un método propietario basado en baselines de seguridad específicos de nuestra organización y empleando medios propios para la evaluación de los terceros. Las cifras no dejan lugar a duda:
- El retorno de la inversión es de un 325 por ciento.
- El payback (período en el que se recupera la inversión) es de menos de tres meses.
- El proceso de evaluación se acelera en un 75 por ciento.
- Los ahorros promedio por proveedor/ tercero crítico son de 6.000 euros.
- La productividad del equipo dedicado a la evaluación de riesgo proveedor se incrementa, como mínimo, un 15 por ciento.
Vistas estas cifras, ¿podemos seguir permitiéndonos gastar decenas o centenas de miles de euros en evaluar de manera individual a los proveedores? Creo que no. No está justificado en ningún caso y es urgente que demos el paso de confiar en mecanismos de evaluación de terceros. Eso sí, que sean de confianza y que lleven a cabo una evaluación rigurosa, detallada, imparcial e independiente de la robustez de las medidas de seguridad que implanta el proveedor del servicio; y diría más, que se responsabilicen de que dicha evaluación es adecuada.
Referencia
- Estudio Outsourcing servicios IT. Whitelane Research y la consultora Quint Wellington Redwood https://www.europapress.es/economia/noticia-57-grandes-empresas-espanolas-ya-usa-tecnologias-robotica-iot-inteligencia-artificial-20181116122552.html