post

¿Cómo tratar la seguridad de la información con nuestros proveedores? Parte 2

Que tal mis amigos, en caso de que se les haya pasado leer la Parte 1, les recomiendo darle una leída antes de seguir con este post.

Recapitulando brevemente. En el post anterior mencionábamos la importancia de empezar por tener nuestro propio programa de seguridad antes de querer aventurarnos a tratar de exigirles lo mismo a nuestros proveedores.

En esta segunda parte quisiera empezar con la siguiente pregunta. ¿Por qué debo exigirles controles de seguridad de información a mis proveedores?

Les respondo con otra pregunta. ¿Dejarían que alguien que nunca han visto conducir, lo hiciera en el auto que acaban de sacar de la agencia? En otras palabras, cuando tenemos a proveedores como aliados para lograr cumplir con nuestros objetivos de negocio en gran parte del tiempo estamos cediendo información valiosa.

Si bien podemos justificar que compartir dicha información es importante para que el negocio fluya también tenemos que tener en cuenta que puede pasar si por descuido (en el mejor de los casos) de ese proveedor la información termina en manos incorrectas.

Esta cuestión creo yo que se vuelve más clara cuando ponemos la luz sobre los dilemas que involucran los manejos de datos personales. Compartir información de clientes y/o de empleados se vuelve un tema de extrema sensibilidad al involucrar a una tercera parte. Si algo sucede con dicha información y esto involucra un tercero nos tocará a nosotros como primera entidad en la lista de responsables pagar por los platos rotos.

¿Entonces, todos mis proveedores deben ser auditados sobre sus controles de seguridad de la información?

Pues NO. Responder a esta pregunta nos lleva a una tarea muy importante de identificar a nuestros proveedores y tener identificados nuestros flujos de información. Tenemos que poder responder si nos preguntan sobre un proveedor; por el servicio que nos brinda y cuál es la información que le compartimos para que el servicio pueda ser prestado.

Adicional a los cuestionamientos iniciales podemos sumarle a la ecuación el aproximado de registros/información únicos que compartimos. Este dato es sumamente importante si queremos establecer más adelante un criterio para determinar el nivel de impacto que tendremos si algo sucede con esa información. Este valor es base en el establecimiento de multas cuando organismos reguladores detectan un incumplimiento, mal manejo de información o la fuga/robo de datos.

Cabe mencionar que conocer el aproximado de datos y su respectiva clasificación nos permite gestionar mejor los esfuerzos dedicados a evaluar a un proveedor. Es común que se pierda tiempo realizando evaluaciones en proveedores que se pueden considerar de bajo impacto, tiempo que sería valioso para evaluar mejor a algún proveedor con un impacto mayor.

Para no alargar más esta segunda parte les dejo las siguientes preguntas:

  • ¿Qué tanta información comparten sus empresas con proveedores?
  • ¿De qué manera comparten dicha información?
  • ¿Es información física o digital?
  • ¿Dónde la almacena el proveedor? (Considerar también el país)
  • ¿Qué pasa con la información cuando ya no se requiere para el negocio?
  • ¿Su proveedor la podría transferir a un tercero?
  • Pues bien mis amigos esos son apenas algunos de los cuestionamientos que sugiero hacerse previo cualquier análisis sobre los riesgos de un proveedor.

Si tienen más preguntas aprovechen la sección de comentarios para compartirlas.

Les recomiendo darle una leída a esta nota de DarkReading, si se ve dirigida a la temática del impacto de la seguridad en la reputación hace mención a la poca importancia que se le da al riesgo de terceros en la actualidad y la tendencia a que esa importancia crezca en el futuro cercano.