Red Seguridad 089

Las fronteras extendidas de la seguridad empresarial S ituaciones extraordinarias como la que vivimos actualmente requie- ren cambios en las dinámicas de la empresa que llevan aparejados un replanteamiento general de las estrategias organizativas para afron- tar el presente y abordar el futuro. La necesidad de trabajar a distancia ha provocado que ideas como la implantación del puesto de trabajo digital o la contratación de servi- cios en entornos cloud se conviertan en objetivos empresariales priorita- rios, dando lugar a adquisiciones de productos y servicios de terceros. También, la necesidad de un con- tacto más eficaz con proveedores de productos y servicios que hasta la fecha realizaban sus funciones in situ ha originado inevitables modificacio- nes contractuales en los medios de acceso y comunicación. Todos estos cambios en las estra- tegias organizativas ocurren dentro de un concepto que ya había sido formulado antes como consecuen- cia directa de la globalización de la economía y los mercados: el de la empresa extendida, por el cual nin- guna organización puede funcionar hoy en día como un ente aislado. En el escenario económico moderno, cualquier empresa necesita provee- dores, canales de distribución, part- ners y servicios externalizados para poder ser competitiva. El correcto funcionamiento de la empresa extendida exige que part- ners y colaboradores tengan acceso a información y sistemas críticos. Y así, mientras la productividad se extiende, también lo hacen las fron- teras de la seguridad de la compa- ñía y del campo de actuación del CISO. La contratación de productos y servicios de proveedores, así como las estrategias de externalización de procesos de negocio y contratación de productos y servicios en entornos cloud amplían las fronteras del eco- sistema de seguridad de la informa- ción de las compañías. Para cualquier responsable de seguridad deja de ser suficiente proteger sus propias redes, servi- dores o aplicaciones y asegurarse de que sus empleados no come- tan errores que puedan exponer a la organización. En un entorno de empresa extendida también es imprescindible que conozca el nivel de seguridad y riesgo que tienen todos aquellos que se relacionan con la organización y tienen acce- so a ella, y así poder actuar sobre ellos. Porque cuando la organiza- ción delega funciones y da acce- so a terceros, transfiere el riesgo, pero no la responsabilidad sobre la información y los servicios, incluida la del ámbito de la protección de datos personales. Un tercero que tenga acceso pri- vilegiado a la red de la empresa y que sufra un ataque en su sistema otorgará a sus atacantes el mismo acceso privilegiado a los sistemas de la organización. Por ello, se vuel- ve imprescindible evaluar el nivel de seguridad de los colaboradores para tomar decisiones sobre la necesidad y el grado de relación con cada uno de ellos y el tipo de controles que es necesario establecer. El perímetro corporativo que debe protegerse se extiende, ya que cualquier fallo de seguridad en los terceros que se relacionan con la empresa es una amenaza para la organización. Vendor Risk Management La forma más eficaz de llevar a cabo esta evaluación es poner en mar- cha un programa de Valoración del Riesgo de Proveedores (Vendor Risk Management, VRM) con el objetivo Ignacio de Palma Jerez Project Manager de Sothis en Gobierno de Seguridad de la Información y Continuidad de Negocio 76 red seguridad segundo trimestre 2020 cadena de suministro opinión especial