Volver a lo básico: ¡Evaluemos a nuestros proveedores!

  • 21/11/2024
  • 132
Volver a lo básico: ¡Evaluemos a nuestros proveedores!

Aurores: MSc. Ing. María Carla Silveira Taboadela, Dir.Div.Ciberseguridad ETI; Ing. Abel Tamayo León, Esp.Div.Ciberseguridad ETI

La CONFIANZA es un concepto que trabaja todos los aspectos de nuestras vidas, comenzando en las relaciones interpersonales hasta el ámbito profesional. Desde la etimología de la palabra hasta su definición en el Diccionario de la Real Academia Española (RAE), la confianza es un valor fundamental que nos permite establecer vínculos sólidos y duraderos con los demás. Dentro su significado, hay una expresión que se precisa como la seguridad o firmeza que se tiene en alguien o algo, fundada en la experiencia o en la autoridad. Esta definición nos muestra que la confianza no es solo una sensación o una emoción, sino que se basa en una construcción a lo largo del tiempo, consistencia en el comportamiento, aprendizaje de errores, experticia y credibilidad, reconocimiento externo y transparencia.

Un alto en el tema, permite identificar dimensiones para trabajar la confianza, pero solo voy a tratar en mi argumento, una dimensión psicológica basada en la naturaleza de la confianza y una dimensión ética con foco en la responsabilidad. Es un hecho que los clientes tienden a percibir menos riesgo en una relación donde prima un historial de cumplimiento (visibilizado en la calidad de un servicio que cubre o excede de manera consistente las expectativas de los consumidores) y se transparente la protección y uso seguro de los datos (a través de términos y condiciones establecidos en acuerdos comerciales, plazos de entrega, políticas de devolución, así como notificaciones de interés entre las partes).

La necesidad de convivir en ecosistemas digitales vivos identifica importantes desafíos en materia de Ciberseguridad para el sector empresarial. Temas como la identificación de brechas de seguridad, inclusión de nuevos controles, prevención y predicción de ataques cibernéticos, gestión del riesgo y el cumplimiento normativo y regulatorio, son algunas de las necesidades objetivas del BoD (Mesa Directa). Esto trae consigo el deseo palpable de contar con proveedores de servicios digitales que brinden soluciones/servicios donde apliquen temas de seguridad desde el diseño y trabajen desde la proactividad en la colaboración.

Dicho esto, la gestión de la seguridad en la cadena de suministro es una inquietud constante para clientes y suministradores. Una mirada crítica sobre el tema, cuestiona la eficiencia y efectividad de los controles evaluativos y de seguimiento sobre nuestros proveedores. Mi experiencia en evaluaciones en cuestión, encuentra entornos donde se vive en la retórica frase de sensación de falsa seguridad, porque no comprendemos el alcance de los impactos de malas prácticas enlazadas a evaluar. La realidad es que:

  • La evaluación solo ocurre al inicio de una contratación sin seguimiento en el futuro inmediato.
  • No se integra a la seguridad como riesgo palpable en los procesos de contratación de servicios/productos digitales.
  • Hay un sesgo importante en la identificación de todos los actores que funcionan como eslabones en la cadena de suministro.
  • Existe un desamparo legal en contratos y acuerdos comerciales en cuanto a garantías y responsabilidades entre las partes.
  • Ausencia en la verificación de certificaciones y avales obligados en las prestaciones de servicios.
  • Ausencia en la caracterización de los activos de información contratados asociado a la criticidad de los mismos con alto impacto para el negocio.
  • Ausencia de mecanismos de control sobre distintos actores económicos (prestadores de servicios digitales) en el cumplimiento del marco regulatorio.
  • No se trabaja con Terceros de Buena Fe o Asesores de Confianza con reputación y conocimiento en Ciberseguridad, siendo una necesidad en el proceso de evaluación de proveedores.
  • Desconocimiento sobre temas de gobernanza, gestión empresarial y gestión de la seguridad de la información.

 

Como consecuencia directa, se cumple que los proveedores operan en nuestra Ventana de Riesgo y debo gestionar los Riesgos Cibernéticos de Terceros. Para ello, debemos orientar nuestros esfuerzos a: ganar visibilidad del entorno, saber responder a los riesgos derivados de su inclusión e integrar buenas prácticas y controles de seguridad de la información específicos.

Utilicemos entonces la norma ISO/IEC 27036, como guía que trabaja la Seguridad de la Información para las relaciones con proveedores, y orienta sobre la evaluación y el tratamiento de los riesgos de información abarcados en el aprovisionamiento de bienes y servicios de terceros. Concretamente en este apartado, apliquemos la ISO/IEC 27036-3:2023 que centra temas de trazabilidad, origen e integración de productos, y compromiso de seguridad de la información. Vale destacar la inclusión de la ISO/IEC 27002:2023, en su apartado de controles de seguridad de la información organizativos, que define controles preventivos de: Seguridad de la información en las relaciones con los proveedores, Abordar la seguridad de la información dentro de los acuerdos de proveedores, Gestión de la seguridad de la información en la cadena de suministro de las TIC, Seguimiento, revisión y gestión del cambio de los servicios de proveedores y Seguridad de la información para el uso de servicios en la nube.

Evaluar la ciberseguridad es un paso esencial para determinar la confiabilidad de un proveedor de servicios. Primero, es importante investigar la infraestructura de seguridad del proveedor, asegurándose de que utilicen tecnologías avanzadas y tengan políticas sólidas de seguridad en su lugar. Verificar que el proveedor cumpla con las regulaciones y estándares de seguridad reconocidos es crucial. Además, revisar sus políticas de gestión de datos y la capacidad para responder a incidentes de ciberseguridad proporciona una visión clara de su preparación y competencia en este ámbito. Las auditorías regulares y la transparencia en la comunicación de sus prácticas de seguridad son indicadores clave de su compromiso. Finalmente, es recomendable considerar sus antecedentes y reputación en términos de ciberseguridad, consultando referencias y revisando cualquier historial de incidentes de seguridad. Todo esto ayuda a garantizar que el proveedor maneje de manera efectiva los riesgos cibernéticos y proteja los datos y sistemas de su cliente.

Finalmente, podemos decir que la evaluación de nuestros proveedores se circunscribe principalmente a temas de visibilidad y control, siendo el establecimiento de límites entre las partes, el catalizador de una relación de confianza sólida.