post

¿Cómo tratar la seguridad de la información en nuestros proveedores? Parte 1

Finalmente después muchos meses y muchos cambios he decidido retomar la actividad en el blog. En esta ocasión quisiera compartir algunas opiniones personales relacionadas directamente a mis actividades profesionales en la actualidad. Por esta razón he decido escribir unos cuantos posts al respecto.

Creo que no es novedad para nadie en el medio de la seguridad de la información el indagar sobre los controles de seguridad implementados por nuestros proveedores, controles que además de buscar asegurar las operaciones proveedor también impactan en asegurar la información que compartimos como parte de nuestros acuerdos de servicios.

En los últimos meses me he dedicado a analizar la seguridad de una serie de proveedores de la compañía para la cual laboro alrededor de Latinoamérica y me he topado con sorpresas bastante agradables considerando que tenía una expectativa muy diferente.

¿Seguridad de la información en proveedores? ¿Por dónde empezar?

Dos preguntas básicas con una respuesta corta y simple. ¡Por uno mismo! Sí como empresa queremos buscar que nuestros proveedores implementen controles de seguridad alrededor de los servicios que nos brindan, tenemos que empezar por establecer nuestro propio estándar de seguridad.

Una analogía un poco simple de ver esto es la de un doctor que mientras fuma te diga que no lo debes de hacer dado que afecta tu salud. Si uno como empresa no tiene establecido un programa de seguridad de la información difícilmente tendrá credibilidad en exigirle a un tercero contar con medidas iguales o superiores.

De la misma manera ese entorno/programa que logremos establecer debe mantenerse al día para que de tal manera posamos llevar las mismas actualizaciones a los requerimientos que le pediremos a los terceros.

Existen disponibles muchos frameworks en los cuales las empresas se pueden apoyar para definir ese programa de seguridad de la información. No es ninguna novedad la falta de profesionales en el área por lo que el contratar a un tercero puede también ser algo complejo. Por tal razón para finalizar esta primera parte les comparto algunas referencias que les pueden ser de utilidad:

Gestionar la relación con proveedores se volvió un control más amplio a implementarse desde la versión 2013 de ISO 27001, tomando también en cuenta la seguridad de la información en las relaciones con proveedores.

Este “nuevo” control exige considerar una política de seguridad de la información para proveedores en la cual se documenten los requisitos de seguridad de la información necesarios a cumplir con la finalidad de mitigar los riesgos asociados a proveedores y terceras personas.

También debemos tomar en cuenta el tratamiento de riesgos, estableciendo todos los requisitos de seguridad pertinentes a cada proveedor según el acceso, procesamiento y almacenamiento. El criterio de aceptación de riesgos relacionados a los proveedores también debe ser previamente establecido además del flujo necesario para dicha aceptación. Es fundamental que los riesgos aceptados lleven la firma de un líder de peso en el negocio.

En los próximos posts ahondaré más en cómo perfilar a nuestros proveedores y posteriormente algunas herramientas para realizar tales revisiones.

Existen varias otras referencias por lo que los invito a dejar sus recomendaciones en los comentarios.

Más sobre Security Frameworks: http://www.securityweek.com/importance-security-frameworks