Seguritecnia 491

/ Noviembre 2021 36 Servicios esenciales D esde hace unos años, las instituciones y los departa- mentos corporativos dedi- cados a la seguridad han puesto su foco en los posibles problemas relacionados con la seguridad, en todos sus ámbitos, que pueden causar los pro- veedores de productos y servicios. En el caso de las grandes empresas, el problema se ve acrecentado por su com- pleja estructura, la dispersión geográfica, el enorme número de proveedores y la ingente cantidad de contratos que se fir- man todos los años. Debido a ello, para mitigar este riesgo de seguridad, nuestra propuesta se basa en focalizar la evaluación previa de pro- veedores en sus certificaciones y en las agencias de rating de ciberseguridad de empresas, complementadas, cuando se considera imprescindible, con procesos de auditoría de seguridad internos o externos. Una vez garantizado que la empresa cumple con los estándares de seguridad que consideramos necesarios, por el principio de corresponsabilidad, la tarea de comprobar la seguridad de cada uno de los servicios o productos contratados a dicha compañía se traslada a las áreas gestoras. Dado que el personal de las áreas suele carecer de los conocimientos necesarios para incluir en sus pliegos los requisitos y controles de protección pertinentes, el área de seguridad ha centrado su esfuer- zo en el desarrollo de una aplicación web accesible a todos los empleados, que permite, de una manera muy sencilla, preparar en pocos minutos los anexos de seguridad necesarios para adjuntar a los pliegos de licitación. La solución permite posteriormente automatizar el proceso de evaluación técnica de las ofertas de los posibles proveedores, haciendo sencilla la tarea de comprobar las carencias de seguridad, sus posibles implicaciones y la forma de mitigar o asumir esas carencias si se consideran subsanables. Durante la fase de ejecución de los servicios, la aplicación automatiza la realización de controles de seguri- dad por parte de los responsables de los servicios a través de formularios y check-lists que indican exactamente los puntos a comprobar. De esta manera, la aplicación permite saber si se cumplen los requisitos de seguridad del servicio, si debe obligarse al proveedor a tomar medidas correctivas, si han de aplicarse penalizaciones o, incluso, si tiene que considerarse la rescisión del contrato por incumplimiento flagrante. Antes de la finalización del contrato, la aplicación también ofrece al responsable del área gestora un check-list de las ac- ciones y comprobaciones que debe llevar a cabo, con el objeto de garantizar que el proveedor del servicio realice una entrega o un traspaso del servicio adecuado. Posteriormente, la información de cada uno de los contratos incluidos en el siste- ma se correla de forma que permite cono- cer, por ejemplo, cuáles son las amenazas que se han materializado, los dominios de seguridad con más debilidades o los pro- veedores con más incumplimientos. Toda esta información se usa para re- alimentar el sistema, lanzar iniciativas de seguridad en la organización, reforzar los puntos con más vulnerabilidades e, inclu- so, llegado el caso, cancelar la relación de la empresa con aquellos proveedores con menor nivel de cumplimiento. Seguridad en la cadena de suministro aplicada al ciclo de vida del servicio J esús E rnesto M uñoz M igueláñez D irector G lobal de S eguridad O perativa de T elefónica Nuestra propuesta se basa en focalizar la evaluación previa de proveedores en sus certificaciones y en las agencias de ‘rating’ de ciberseguridad