Seguritecnia 482

SEGURITECNIA Enero 2021 39 Ciberseguridad Imposibilidad de comprobar la efec- tividad de los sistemas de seguridad implementados hasta que el riesgo se materializa. Una vez evaluados los riesgos y es- tablecidas las necesidades de control y protección, el responsable de seguri- dad tiene varios aspectos que anticipar en materia de seguridad antes, durante y en la finalización de la relación con un tercero que actúe de proveedor: Políticas y procedimientos de segu- ridad globales: donde se establecen las directrices generales para todos los productos y servicios de terceros. Proceso de homologación del pro- veedor: donde se deben establecer los requisitos que debe cumplir el proveedor en función del producto y servicio que ofrece. Contratación del proveedor: donde han de establecerse los requisitos es- pecíficos que tiene que cumplir el proveedor en el ámbito concreto del servicio, así como la firma de acuer- dos de seguridad, confidencialidad y protección de datos. Supervisión del proveedor: donde se establezcan mecanismos para reali- zar auditorías de cumplimiento, se- guimiento de ANS e incluso pruebas de continuidad conjuntas. Salida del proveedor : que ref leje por un lado la salida ordenada del proveedor, así como la sustitución urgente del mismo por causas de fuerza mayor o brechas de seguri- dad que imposibiliten seguir pres- tando los servicios contratados. Para solventar la di f icul tad para cualquier empresa de llevar a cabo el proceso de control de sus fronteras extendidas de seguridad, en Sothis ayudamos a implantar el modelo de gestión y supervisión de proveedo- res en términos de seguridad, con- tinuidad y protección de datos per- sonales. Y también la realización de audi tor ías de cumpl imiento sobre terceros. Así , el responsable de seguridad puede tener un cuadro de mando del cumplimiento en cuanto a las po- líticas y directrices marcadas desde el gobierno de seguridad, así como el cumplimiento de los términos es- pecíficos de seguridad fijados en el contrato. de seguridad de proveedores, que in- cluirá a personal de TI, de legal o go- bierno corporativo y a representantes de las líneas de negocio y operación que gestionen a los proveedores. A partir de aquí, se diseña el programa de gestión del riesgo de proveedores, que normalmente definirá tres o cua- tro niveles según la criticidad de da- tos y aplicaciones a los que tengan acceso. El último paso es comunicar a cada proveedor los nuevos requisitos de seguridad. Evaluación del riesgo La evaluación del riesgo para la segu- ridad de la información de proveedo- res no es un procedimiento sencillo. Y en la mayoría de los casos es difícil ob- tener unos resultados útiles sin la inter- vención de profesionales especializa- dos en los procesos de VRM por razo- nes como: Falta de metodología o referencia que permita evaluar de forma obje- tiva el nivel de riesgo. Dificultad para verificar la exactitud de la información y de lo declarado por los proveedores en sus cuestio- narios.