seguritecnia 437

Opinión 27 SEGURITECNIA Diciembre 2016 seguridad de proveedores , que incluirá a personal de TI, de legal o gobierno corporativo y representantes de las líneas de negocio y operación que gestionen a los proveedores. Aquí seguramente el CISO encontrará el primer obstáculo para este tipo de programas debido a la dificultad de transmitir el mensaje de seguridad a interlocutores no especializados, cuyos intereses pue- den además estar muy alejados de las necesidades de ciberseguridad de la empresa. A partir de aquí se diseña el programa de gestión del riesgo de proveedores , que normalmente definirá tres o cuatro niveles, según la criticidad de datos y aplica- ciones a los que tengan acceso. A cada proveedor se le comunican los nuevos criterios de seguridad que debe cumplir si desea seguir trabajando con la organización. El siguiente paso es el más complicado y consiste en encontrar la manera de evaluar de forma objetiva, verifi- cable y continua que estos criterios se cumplen. Normal- mente esta evaluación consiste en la realización de ins- pecciones puntuales a los proveedores (normalmente con previo aviso) y la realización de cuestionarios que debe rellenar la empresa evaluada cada cierto tiempo. Además de que este procedimiento no es sencillo, es muy difícil que se obtengan resultados útiles por varios motivos: No existe una metodología ni una referencia que per- mita evaluar de forma objetiva el nivel de ciberriesgo, de la misma forma que se hace con el riesgo crediticio. Es muy difícil verificar la exactitud de la información y de lo declarado por los proveedores en sus cuestiona- rios. Y prácticamente imposible comprobar la efectivi- dad de los sistemas de seguridad implementados. El ciclo de conocimiento del nivel de CiberRiesgo-im- plementación de medidas de remediación-verificación de efectividad es complejo y costoso. El problema es que además debe realizarse de forma continuada si se desea que sea efectivo. Afortunadamente, la tecnología ya permite realizar es- tas evaluaciones de forma automatizada y continua, ob- teniendo datos objetivos que se obtienen legalmente del análisis exhaustivo de las redes de comunicaciones y que no dependen de la información suministrada en los cuestionarios. De esta forma, el CISO puede obtener una informa- ción extremadamente valiosa que además puede pre- sentar un formato entendible por los niveles ejecutivos de las organizaciones, solucionando el problema de lle- var la seguridad corporativa al Comité de Dirección. Este es el futuro de los sistemas de Vendor Risk Ma- nagament , que ya están disponibles y que suponen un enorme salto cualitativo en la gestión de la seguridad corporativa de la empresa extendida. S CONTROL DE ACCESOS E INTEGRACIÓN DE SISTEMAS DE SEGURIDAD UCAs homologadas en Accesos Grado 4 e Intrusión Grado 3 CENTRAL Parque Tecnológico de Álava C/Albert Einstein, 34 01510 Vitoria-Gasteiz ALAVA · SPAIN Tel. +34 945 29 87 90 Fax. +34 945 29 81 33 [email protected] DORLET FRANCE Parc Gutenberg 2 Bis Voie La Cardon 91120 PALAISEAU Telf. +33 164 86 40 80 [email protected] MADRID C/Segovia, 65 28005 MADRID · SPAIN Telf. +34 91 354 07 47 Fax. +34 91 354 07 48 [email protected] DORLET MENA Jumeirah Lake Towers Cluster F, HDS Tower, Office 3402 Po. Box 116899 DUBAI · UAE Telf. +971 4 4541346 Fax. +971 4 4541347 [email protected] BARCELONA C/Sant Elies, 11-19, Dpc 111 08006 BARCELONA · SPAIN Telf. +34 93 201 10 88 Fax. +34 93 201 13 76 [email protected] DORLET MÉXICO Sócrates, 207 Los Morales, Secc. Palmas CP 11540 MÉXICO D.F. · MÉXICO Telf. +52 (55) 50 29 17 50 [email protected] CONTROL DE ACCESOS INTEGRACIÓN (CCTV, INCENDIOS...) SINÓPTICOS GESTIÓN VISITAS CONTROL DE PRESENCIA ALARMAS INTERFONÍA SEVILLA Telf. +34 699 30 29 57 [email protected] DORLET BRASIL Av. Queiroz Filho, 111 V. Hambruguesa Sao Paulo-SP · BRASIL CEP 05319-000 Telf. (55 11) 3021-5545 [email protected] www.dorlet.com