Segurilatam 017

artículo técnico Ciberseguridad Las tecnologías de VRM permiten a las empresas evaluar, monitorizar y gestionar su exposición al riesgo que suponen sus relaciones con terceros, de quien reciben servicios y productos de TI o de cualquier otro que tenga ac- ceso a la información de la empresa. Para llevar a cabo un VRM eficaz, en primer lugar es necesario realizar un análisis lo más detallado posible de to- dos los proveedores y del tipo de datos y sistemas a los que tienen acceso. A continuación, hay que crear un equipo que diseñe la estrategia de seguridad de proveedores, que incluirá a personal de TI, de legal o gobierno corporativo y a representantes de las líneas de ne- gocio y operación que gestionen a los proveedores. A partir de aquí, se diseña el programa de gestión del riesgo de proveedores, que normalmente definirá tres o cuatro niveles según la critici- dad de datos y aplicaciones a los que tengan acceso. El último paso es co- municar a cada proveedor los nuevos requisitos de seguridad. Evaluación del riesgo La evaluación del riesgo para la segu- ridad de la información de proveedo- res no es un procedimiento sencillo. Y en la mayoría de los casos es difícil obtener unos resultados útiles sin la intervención de profesionales espe- cializados en los procesos de VRM por razones como: Falta de metodología o referencia que permita evaluar de forma objeti- va el nivel de riesgo. Dificultad para verificar la exactitud de la información y de lo declarado por los proveedores en sus cuestio- narios. Imposibilidad de comprobar la efec- tividad de los sistemas de seguridad implementados hasta que el riesgo se materializa. Una vez evaluados los riesgos y establecidas las necesidades de con- trol y protección, el responsable de seguridad tiene varios aspectos que anticipar en materia de seguridad an- tes, durante y en la finalización de la relación con un tercero que actúe de proveedor: Políticas y procedimientos de segu- ridad globales: donde se establecen las directrices generales para todos los productos y servicios de terceros. Proceso de homologación del pro- veedor: donde se deben establecer los requisitos que debe cumplir el proveedor en función del producto y servicio que ofrece. Contratación del proveedor: donde han de establecerse los requisitos específicos que tiene que cumplir el proveedor en el ámbito concreto del servicio, así como la firma de acuer- dos de seguridad, confidencialidad y protección de datos. Supervisión del proveedor: donde se establezcan mecanismos para reali- zar auditorías de cumplimiento, se- guimiento de ANS e incluso pruebas de continuidad conjuntas. Salida del proveedor: que refleje por un lado la salida ordenada del proveedor, así como la sustitución urgente del mismo por causas de fuerza mayor o brechas de seguridad que imposibiliten seguir prestando los servicios contratados. Para solventar la dificultad para cualquier empresa de llevar a cabo el proceso de control de sus fronteras extendidas de seguridad, en Sothis ayudamos a implantar el modelo de gestión y supervisión de proveedores en términos de seguridad, continuidad y protección de datos personales. Y también la realización de auditorías de cumplimiento sobre terceros. Así, el responsable de seguridad puede tener un cuadro de mando del cumplimiento en cuanto a las políticas y directrices marcadas desde el gobier- no de seguridad, así como el cumpli- miento de los términos específicos de seguridad fijados en el contrato. Primer cuatrimestre 2021 / 83