¿DEPENDEMOS DE PROVEEDORES SIN GESTIONAR EL RIESGO QUE ESO IMPLICA?
En un mercado en el que el ahorro de costes se considera primordial, y más cuando se ha venido de un escenario de crisis económica, se puede caer en el error de no seleccionar al proveedor de servicios que proporcione las medidas de seguridad, privacidad y continuidad que realmente necesita la entidad.
Al igual que no prescindiríamos de luces, cinturones ni airbags al comprar un coche y se realizan revisiones periódicas del mismo, debe haber unas líneas rojas en seguridad, privacidad y continuidad al contratar servicios externos que no deberían ignorarse y que deberían revisarse periódicamente.
Ninguna entidad es infalible ni puede asegurar que no le tocará afrontar una situación de crisis ya sea particular o global como es el caso de las pandemias. Es precisamente en estas situaciones de crisis, cuando se puede necesitar una mayor actuación de terceros en la operativa y servicios tecnológicos de la organización (almacenamiento de información, comunicación remota de archivos, servicios de chat, servicios de videoconferencias, aplicaciones cloud, etc.). Ante esta situación las entidades ya no tienen opción de replantearse si los proveedores que contrataron son suficientemente seguros o si les ofrecerán la continuidad que necesitan, tienen dos opciones, lanzarse a operar con ellos o asumir la falta de continuidad de sus operaciones hasta encontrar una solución.
Lanzarse a operar con un proveedor tecnológico que no ofrece las garantías de seguridad, privacidad y continuidad que requiere la entidad puede llevar a sufrir incidentes que impliquen, entre otros, daños reputacionales, económicos y estratégicos. Es en este momento cuando la entidad puede ser más vulnerable porque este riesgo se incrementa especialmente en estas situaciones de crisis en las que aumentan las amenazas (los ciberataques se incrementan tal y como indica el CCN) y aumenta la exposición de la entidad (toda la información de la empresa puede llegar a estar soportado por estos proveedores).
Las entidades deben evitar esta situación a través de una selección de proveedores que ofrezcan garantías respecto a la seguridad, privacidad y continuidad, y que las aseguren a lo largo del tiempo con el fin de tener confianza en el entorno en el que se está operando.
Para ello resulta vital disponer de un modelo de VRM de gestión de riesgos tecnológicos en proveedores con el que poder valorar la continuidad del servicio, la seguridad y la privacidad, contratando solamente aquellos proveedores que nos den confianza y vayan a estar disponibles cuando más los necesitemos y con medidas de seguridad apropiadas que protejan tanto los datos de la entidad como la privacidad de los datos personales.
Este modelo VRM deberá abarcar la gestión de los riesgos de seguridad, de privacidad y de continuidad de la subcontratación a lo largo de todo el ciclo de vida del proveedor (evaluación del servicio a externalizar, valoración de riesgo de proveedores propuestos, establecimiento de la contratación, prestación del servicio y devolución del servicio).
Puesto que cada entidad tiene sus particularidades y tipología de proveedores, el modelo de VRM deberá estar adaptado a la casuística específica de la entidad, y se tendrá que definir un conjunto de requisitos y controles que deberán cumplir los proveedores.
Estos requisitos y necesidades serán los que se tendrán en cuenta para realizar una evaluación periódica de cumplimiento ya sea a través de la correlación con controles existentes en certificaciones que tenga el servicio del proveedor (ISO 27000, ISO 22031, Esquema Nacional de Seguridad, SOC 2, etc.) o verificaciones periódicas de los mismos (documentales, auditorías, etc.).
Podemos confiar en nuestros proveedores para ayudar a soportar nuestro negocio (incluso en situaciones de crisis), pero solo si contratamos los que cubren nuestras necesidades de seguridad, continuidad y privacidad y gestionamos el riesgo durante toda la prestación del servicio.