Red Seguridad 089

especial red seguridad segundo trimestre 2020 77 red seguri ad segundo trimestre 2020 7 cadena de suministro opinión de detectar los riesgos que supone la contratación de servicios y reducir su impacto. El VRM se convierte en el proceso que garantiza que la utili- zación de proveedores de servicios, tecnologías y materiales no repre- senta un riesgo inaceptable para el funcionamiento del negocio o un impacto negativo en sus resultados. Las tecnologías de VRM permiten a las empresas evaluar, monitorizar y gestionar su exposición al riesgo que suponen sus relaciones con terceros, de quien reciben servicios y productos de TI o de cualquier otro que tenga acceso a la información de la empresa. Para llevar a cabo un VRM eficaz, en primer lugar es necesario realizar un análisis lo más detallado posible de todos los proveedores y del tipo de datos y sistemas a los que tienen acceso. A continuación, hay que crear un equipo que diseñe la estra- tegia de seguridad de proveedores, que incluirá a personal de TI, de legal o gobierno corporativo y a represen- tantes de las líneas de negocio y operación que gestionen a los pro- veedores. A partir de aquí, se diseña el programa de gestión del riesgo de proveedores, que normalmente definirá tres o cuatro niveles según la criticidad de datos y aplicaciones a los que tengan acceso. El último paso es comunicar a cada proveedor los nuevos requisitos de seguridad. Evaluación del riesgo La evaluación del riesgo para la segu- ridad de la información de proveedo- res no es un procedimiento sencillo. Y en la mayoría de los casos es difícil obtener unos resultados útiles sin la intervención de profesionales espe- cializados en los procesos de VRM por razones como: Falta de metodología o referencia que permita evaluar de forma obje- tiva el nivel de riesgo. Dificultad para verificar la exactitud de la información y de lo declarado por los proveedores en sus cues- tionarios. Imposibilidad de comprobar la efectividad de los sistemas de seguridad implementados hasta que el riesgo se materializa. Una vez evaluados los riesgos y establecidas las necesidades de con- trol y protección, el responsable de seguridad tiene varios aspectos que anticipar en materia de seguridad antes, durante y en la finalización de la relación con un tercero que actúe de proveedor: Políticas y procedimientos de seguridad globales: donde se establecen las directrices gene- rales para todos los productos y servicios de terceros. Proceso de homologación del proveedor: donde se deben esta- blecer los requisitos que debe cumplir el proveedor en función del producto y servicio que ofrece. Contratación del proveedor: donde han de establecerse los requisitos específicos que tiene que cumplir el proveedor en el ámbito concreto del servicio, así como la firma de acuerdos de seguridad, confidencialidad y pro- tección de datos. Supervisión del proveedor: donde se establezcan mecanis- mos para realizar auditorías de cumplimiento, seguimiento de ANS e incluso pruebas de conti- nuidad conjuntas. Salida del proveedor: que refleje por un lado la salida ordenada del proveedor, así como la sustitución urgente del mismo por causas de fuerza mayor o brechas de seguri- dad que imposibiliten seguir pres- tando los servicios contratados. Para solventar la dificultad para cualquier empresa de llevar a cabo el proceso de control de sus fronteras extendidas de seguridad, en Sothis ayudamos a implantar el modelo de gestión y supervisión de provee- dores en términos de seguridad, continuidad y protección de datos personales. Y también la realización de auditorías de cumplimiento sobre terceros. Así, el responsable de seguridad puede tener un cuadro de mando del cumplimiento en cuanto a las políticas y directrices marcadas desde el gobierno de seguridad, así como el cumplimiento de los térmi- nos específicos de seguridad fijados en el contrato. especial

RkJQdWJsaXNoZXIy ODM4MTc1