Seguritecnia 482

38 SEGURITECNIA Enero 2021 Ciberseguridad Ignacio de Palma Jerez Project Manager de Sothis en Gobierno de Seguridad de la Información y Continuidad de Negocio Las fronteras extendidas de la seguridad empresarial S i tuaciones ex t raordinar ias como la que vivimos actual- mente requieren cambios en las dinámicas de la empresa que llevan aparejados un replanteamiento gene- ral de las estrategias organizativas para afrontar el presente y abordar el futuro. La necesidad de trabajar a distancia ha provocado que ideas como la implan- tación del puesto de trabajo digital o la contratación de servicios en entor- nos cloud se conviertan en objetivos empresariales prioritarios, dando lugar a adquisiciones de productos y servi- cios de terceros. También, la necesidad de un contacto más eficaz con pro- veedores de productos y servicios que hasta la fecha realizaban sus funciones in situ ha originado inevitables modifi- caciones contractuales en los medios de acceso y comunicación. Todos estos cambios en las estrate- gias organizativas ocurren dentro de un concepto que ya había sido formu- lado antes como consecuencia directa de la globalización de la economía y los mercados: el de la empresa exten- dida, por el cual ninguna organización puede funcionar hoy en día como un ente aislado. En el escenario econó- mico moderno, cualquier empresa ne- cesita proveedores, canales de distri- bución, partners y servicios externaliza- dos para poder ser competitiva. El correcto funcionamiento de la empresa extendida exige que partners y colaboradores tengan acceso a infor- mación y sistemas críticos. Y así, mien- tras la productividad se extiende, tam- bién lo hacen las fronteras de la segu- ridad de la compañía y del campo de actuación del CISO. La contratación de productos y servicios de proveedores, así como las estrategias de externaliza- ción de procesos de negocio y contra- tación de productos y servicios en en- tornos cloud amplían las fronteras del ecosistema de seguridad de la infor- mación de las compañías. Para cualquier responsable de segu- ridad deja de ser suficiente proteger sus propias redes, servidores o apli- caciones y asegurarse de que sus em- pleados no cometan errores que pue- dan exponer a la organización. En un entorno de empresa extendida tam- bién es imprescindible que conozca el nivel de seguridad y riesgo que tie- nen todos aquellos que se relacionan con la organización y tienen acceso a ella, y así poder actuar sobre ellos. Porque cuando la organización de- lega funciones y da acceso a terceros, transfiere el riesgo, pero no la respon- sabilidad sobre la información y los servicios, incluida la del ámbito de la protección de datos personales. Un tercero que tenga acceso privile- giado a la red de la empresa y que su- fra un ataque en su sistema otorgará a sus atacantes el mismo acceso pri- vilegiado a los sistemas de la organi- zación. Por ello, se vuelve imprescin- dible evaluar el nivel de seguridad de los colaboradores para tomar deci- siones sobre la necesidad y el grado de relación con cada uno de ellos y el tipo de controles que es necesario es- tablecer. El perímetro corporativo que debe protegerse se extiende, ya que cualquier fallo de seguridad en los terceros que se relacionan con la em- presa es una amenaza para la organi- zación. Vendor Risk Management La forma más eficaz de llevar a cabo esta evaluación es poner en marcha un programa de Valoración del Riesgo de Proveedores (Vendor Risk Manage- ment, VRM) con el objetivo de detec- tar los riesgos que supone la contrata- ción de servicios y reducir su impacto. El VRM se convierte en el proceso que garantiza que la utilización de provee- dores de servicios, tecnologías y mate- riales no representa un riesgo inacep- table para el funcionamiento del ne- gocio o un impacto negativo en sus resultados. Las tecnologías de VRM permiten a las empresas evaluar, monitorizar y gestionar su exposición al riesgo que suponen sus relaciones con terceros, de quien reciben servicios y produc- tos de TI o de cualquier otro que tenga acceso a la información de la empresa. Para llevar a cabo un VRM eficaz, en primer lugar es necesario realizar un análisis lo más detallado posible de todos los proveedores y del tipo de datos y sistemas a los que tienen ac- ceso. A continuación, hay que crear un equipo que diseñe la estrategia