Segurilatam 017

/ Primer cuatrimestre 2021 82 artículo técnico Ciberseguridad S ituaciones extraordinarias como la que vivimos actual- mente requieren cambios en las dinámicas de la empresa que llevan aparejados un replantea- miento general de las estrategias or- ganizativas para afrontar el presente y abordar el futuro. La necesidad de trabajar a distancia ha provocado que ideas como la implantación del puesto de trabajo digital o la contratación de servicios en entornos cloud se convier- tan en objetivos empresariales priori- tarios, dando lugar a adquisiciones de productos y servicios de terceros. Tam- bién, la necesidad de un contacto más eficaz con proveedores de productos y servicios que hasta la fecha realizaban sus funciones in situ ha originado inevi- tables modificaciones contractuales en los medios de acceso y comunicación. Todos estos cambios en las estrate- gias organizativas ocurren dentro de un concepto que ya había sido formulado antes como consecuencia directa de la globalización de la economía y los mercados: el de la empresa extendida, por el cual ninguna organización pue- de funcionar hoy en día como un ente aislado. En el escenario económico moderno, cualquier empresa necesita proveedores, canales de distribución, partners y servicios externalizados para poder ser competitiva. El correcto funcionamiento de la empresa extendida exige que part- ners y colaboradores tengan acceso a información y sistemas críticos. Y así, mientras la productividad se extiende, también lo hacen las fronteras de la seguridad de la compañía y del campo de actuación del CISO. La contratación de productos y servicios de proveedo- res, así como las estrategias de exter- nalización de procesos de negocio y contratación de productos y servicios en entornos cloud amplían las fronte- ras del ecosistema de seguridad de la información de las compañías. Para cualquier responsable de se- guridad deja de ser suficiente prote- ger sus propias redes, servidores o aplicaciones y asegurarse de que sus empleados no cometan errores que puedan exponer a la organización. En un entorno de empresa extendida tam- bién es imprescindible que conozca el nivel de seguridad y riesgo que tienen todos aquellos que se relacionan con la organización y tienen acceso a ella, y así poder actuar sobre ellos. Porque cuando la organización delega funcio- nes y da acceso a terceros, transfiere el riesgo, pero no la responsabilidad sobre la información y los servicios, in- cluida la del ámbito de la protección de datos personales. Un tercero que tenga acceso privi- legiado a la red de la empresa y que sufra un ataque en su sistema otorgará a sus atacantes el mismo acceso privi- legiado a los sistemas de la organiza- ción. Por ello, se vuelve imprescindible evaluar el nivel de seguridad de los colaboradores para tomar decisiones sobre la necesidad y el grado de rela- ción con cada uno de ellos y el tipo de controles que es necesario establecer. El perímetro corporativo que debe pro- tegerse se extiende, ya que cualquier fallo de seguridad en los terceros que se relacionan con la empresa es una amenaza para la organización. Vendor Risk Management La forma más eficaz de llevar a cabo esta evaluación es poner en marcha un programa de Valoración del Riesgo de Proveedores (Vendor Risk Manage- ment, VRM) con el objetivo de detectar los riesgos que supone la contratación de servicios y reducir su impacto. El VRM se convierte en el proceso que garantiza que la utilización de pro- veedores de servicios, tecnologías y materiales no representa un riesgo in- aceptable para el funcionamiento del negocio o un impacto negativo en sus resultados. Las fronteras extendidas de la seguridad empresarial I gnacio de P alma J erez P roject M anager de S othis en G obierno de S eguridad de la I nformación y C ontinuidad de N egocio