Red Seguridad 085

50 red seguridad segundo trimestre 2019 gestión opinión ¿Nos podemos permitir un modelo propietario de evaluación de terceros? Antonio Ramos Socio fundador de Leet Security para abordar el riesgo que no se quiere asumir, no va a existir una cer- tificación o una acreditación estándar de mercado que nos permita asegu- rar que los terceros evaluados cum- plen con las medidas de seguridad específicas que les requerimos. ¿Significa esto que nos vemos abocados a tener que solicitar a dichos terceros evidencias de sus medidas de seguridad o, en los casos de mayor criticidad, a tener que auditarlos nosotros mismos? Creo que no. Lo que tenemos que hacer es encontrar el consenso sufi- ciente sobre cómo medir de manera eficiente el nivel de seguridad efectiva que existe en los servicios que que- remos utilizar. Si lo pensamos un poco, esta misma problemática la tenemos cuando, por ejemplo, queremos definir una limitación de velocidad en una carretera. Como no todas las carreteras son iguales y cada Estado tiene una estrategia diferente para reducir el nivel de riesgo de acciden- tes, nos encontramos con que cada vía (más aún, cada tramo) tiene una limitación distinta. Pero podemos gestionar esta complejidad de una forma sencilla: hemos encontrado una manera eficiente de medir la velocidad sobre la que existe un amplio consenso (aunque no global: los últimos informes, los servicios de outsourcing tecnológico 1 seguirán aumentando en los próximos años y experimentarán un mayor crecimien- to en los servicios profesionales de energía, salud y bancarios. Es por ello que las organizaciones deben garantizar que sus proveedores cum- plen con los estándares de seguridad que se requieren según el servicio contratado, el nivel de seguridad exigido y el sector al que pertenecen. La única forma de proteger una com- pañía frente a filtraciones por parte de sus proveedores es asegurar y garantizar la seguridad de todos en la cadena de suministros mediante dichos procesos de VRM. Implantación de VMR Cuando nos enfrentamos a la implan- tación de un proceso de gestión de riesgos de terceros, son muchas las decisiones que tenemos que tomar: ¿cuántos niveles de criticidad van a existir?, ¿qué requisitos de seguridad le vamos a pedir a cada nivel?, ¿cuá- les van a ser los criterios para evaluar la criticidad?, etc. Pero ninguna tan trascendente como qué mecanis- mo de evaluación de cumplimiento vamos a utilizar. Dado que no podemos pretender que ningún estándar recoja nuestro perfil de riesgo y nuestra estrategia L a digitalización de la economía , la Industria 4.0, la irrupción de Internet de las Cosas y, cómo no, la cre- ciente regulación, ya sea sectorial (European Banking Association) o general (Reglamento General de Protección de Datos, en particular por la redacción del artículo 38 sobre encargados de tratamiento), hacen que no podamos obviar ni un minuto más la implantación de procesos de gestión de riesgo proveedor o de terceros (más conocidos por sus siglas en inglés: VRM, Vendor Risk Management , o TPRM, Third Party Risk Management ). Y es que, después de la inversión que hacemos en (ciber)seguridad para elevar nuestro nivel de protec- ción, deberíamos asegurarnos de que todos los terceros que acceden a nuestros sistemas o que gestionan información nuestra cuentan con un nivel de seguridad, al menos, igual que el nuestro. Si no, ese tercero se convertiría en el eslabón más débil de la cadena y haría que toda esa inversión fuera inútil (de hecho hay estudios que hablan de que, en un 56% de los incidentes, el atacante no se ha dirigido a su objetivo en primer lugar, sino que ha utilizado a un ter- cero para tener éxito en su ataque). Además, esta corriente no va a dis- minuir precisamente, ya que, según

RkJQdWJsaXNoZXIy MzA3NDY=