post

¿Cómo tratar la seguridad de la información con nuestros proveedores? Parte 3

Al fin llegamos a lo que consideraría la tercera y última parte de esta entrega. Aunque no considero sea la última vez que escriba sobre el tema de la seguridad de la información en proveedores.

Recapitulando un poco sobre las primeras dos partes. Hemos entendido la importancia de establecer inicialmente un programa de seguridad propio para en base a ellos definir nuestros propios requerimientos de seguridad hacía terceros. También nos dimos la tarea de conocer más sobre la información que manejamos y compartimos con terceros.

Ha llegado la hora de empezar a cuestionar, levantar información, investigar sobre los controles de los terceros con los que trabajamos. Creo que para la realización de este punto tenemos que tener en cuenta algunas variables u escenarios.

1.- ¿Se trata de un proveedor nuevo? Si la respuesta es afirmativa, en el momento en el que se empieza a establecer la relación es cuando debemos presentarles nuestros requerimientos de seguridad y alinearlos a los alcances de los servicios a contratar. Esto nos permitirá identificar la brecha de manera previa a la firma de contrato y determinar el nivel de riesgo de trabajar con X, Y o Z proveedor.

2.- ¿Se trata de un proveedor ya existente? De ser el caso seguramente este proveedor desconoce en buena parte nuestros requerimientos de seguridad o en dado caso no está a la par con la versión más reciente de los mismos. Tenemos que ser tolerantes en este escenario ya que no es simplemente llegar exigiendo tenemos que entender el lado del proveedor y sus posibles restricciones de tiempo y presupuesto. De igual manera recuerden que también nos podemos topar con restricciones de oferta tanto de proveedores como de servicios.

Muy bien ya logré ubicar al proveedor en uno de los escenarios mencionados. ¿Ahora qué hago?

Es momento de notificarle a ese tercero que necesitamos hacer una revisión sobre sus controles de seguridad. Recuerden que es importante acotar que el alcance de ciertos requerimientos, créanme que esto les facilitará la vida.

¿Qué información le pudo pedir? ¿En qué me puedo basar?

  1. Mi sugerencia es que en primer lugar busquen que sus requerimientos salgan de referencias como Shared Assessments, ISO 27002, COBIT, ENISA, NIST u cualquier otra normatividad/código de práctica/framework. Es importante también que si tomaran una de esas referencias y la repasaran a manera de cuestionario al proveedor tengan el criterio al momento de evaluar las respuestas de considerar también sus propios requisitos definidos junto a propio programa de seguridad.
  2. En segundo lugar establezcan una lista predefinida de documentos/evidencias que pueden ser solicitados o compartidos a manera de dar soporte a las respuestas de los cuestionamientos realizados. Consideren solicitar esto a la par del punto 1.
  3. No olviden que si las respuestas u evidencias no les parecen suficientes son libres y deben de pedir información adicional.

Una vez que tenemos la información solicitada es momento poner las manos a la obra y realizar nuestra evaluación. Es importante considerar que dicha evaluación no necesariamente debe basarse solo en lo que llamamos “desk review”. En muchas ocasiones una visita al proveedor es fundamental para una identificación óptima de riesgos.

Terminado el análisis y teniendo los resultados, llega el momento de entregar las buenas y/o malas noticias. Los resultados se deben informar por un lado al área contratante del proveedor en cuestión en primer lugar. Posteriormente el proveedor debe ser notificado en caso de hallazgos y en base al criterio de tratamiento y/o aceptación definido proveer sus respuestas para el tratamiento de los riesgos identificados. Tomen en cuenta que un riesgo puede ser Mitigado, Evitado, Aceptado o Transferido.

Tomen en cuenta que como negocio es indispensable también definir como actuar ante casos extremos donde los proveedores no pueden mitigar un determinado riesgo o no están dispuestos a cooperar. Un buen proceso de excepciones es indispensable para muchos casos.

Sea cual haya sido la respuesta, el seguimiento al proveedor debe mantenerse hasta que cada riesgo haya sido tratado según lo acordado.

En fin mis queridos amigos, de esta manera doy por terminada esta tercia de textos sobre la seguridad de la información en proveedores. Esta no es una guía definitiva ni mucho un tutorial, simplemente son algunas cuestiones que pueden ayudar en el punto de partida de algo que puede ser bastante amplio para muchas organizaciones y sobre todo muy nuevo en el escenario Latinoamericano.

Como siempre sus comentarios son bienvenidos.

Gracias por haber leído hasta aquí J

Les dejo unas cuantas lecturas recomendadas:

If You’re Only as Strong as Your Allies, Should You Trust Third-Party Code?

¿Cuánto por esa cuenta? El valor de la información en el mercado negro?

Corporations Cite Reputational Damage As Biggest Cyber Risk

A Vendor’s Security Reality: Comply Or Good-Bye

post

¿Cómo tratar la seguridad de la información con nuestros proveedores? Parte 2

Que tal mis amigos, en caso de que se les haya pasado leer la Parte 1, les recomiendo darle una leída antes de seguir con este post.

Recapitulando brevemente. En el post anterior mencionábamos la importancia de empezar por tener nuestro propio programa de seguridad antes de querer aventurarnos a tratar de exigirles lo mismo a nuestros proveedores.

En esta segunda parte quisiera empezar con la siguiente pregunta. ¿Por qué debo exigirles controles de seguridad de información a mis proveedores?

Les respondo con otra pregunta. ¿Dejarían que alguien que nunca han visto conducir, lo hiciera en el auto que acaban de sacar de la agencia? En otras palabras, cuando tenemos a proveedores como aliados para lograr cumplir con nuestros objetivos de negocio en gran parte del tiempo estamos cediendo información valiosa.

Si bien podemos justificar que compartir dicha información es importante para que el negocio fluya también tenemos que tener en cuenta que puede pasar si por descuido (en el mejor de los casos) de ese proveedor la información termina en manos incorrectas.

Esta cuestión creo yo que se vuelve más clara cuando ponemos la luz sobre los dilemas que involucran los manejos de datos personales. Compartir información de clientes y/o de empleados se vuelve un tema de extrema sensibilidad al involucrar a una tercera parte. Si algo sucede con dicha información y esto involucra un tercero nos tocará a nosotros como primera entidad en la lista de responsables pagar por los platos rotos.

¿Entonces, todos mis proveedores deben ser auditados sobre sus controles de seguridad de la información?

Pues NO. Responder a esta pregunta nos lleva a una tarea muy importante de identificar a nuestros proveedores y tener identificados nuestros flujos de información. Tenemos que poder responder si nos preguntan sobre un proveedor; por el servicio que nos brinda y cuál es la información que le compartimos para que el servicio pueda ser prestado.

Adicional a los cuestionamientos iniciales podemos sumarle a la ecuación el aproximado de registros/información únicos que compartimos. Este dato es sumamente importante si queremos establecer más adelante un criterio para determinar el nivel de impacto que tendremos si algo sucede con esa información. Este valor es base en el establecimiento de multas cuando organismos reguladores detectan un incumplimiento, mal manejo de información o la fuga/robo de datos.

Cabe mencionar que conocer el aproximado de datos y su respectiva clasificación nos permite gestionar mejor los esfuerzos dedicados a evaluar a un proveedor. Es común que se pierda tiempo realizando evaluaciones en proveedores que se pueden considerar de bajo impacto, tiempo que sería valioso para evaluar mejor a algún proveedor con un impacto mayor.

Para no alargar más esta segunda parte les dejo las siguientes preguntas:

  • ¿Qué tanta información comparten sus empresas con proveedores?
  • ¿De qué manera comparten dicha información?
  • ¿Es información física o digital?
  • ¿Dónde la almacena el proveedor? (Considerar también el país)
  • ¿Qué pasa con la información cuando ya no se requiere para el negocio?
  • ¿Su proveedor la podría transferir a un tercero?
  • Pues bien mis amigos esos son apenas algunos de los cuestionamientos que sugiero hacerse previo cualquier análisis sobre los riesgos de un proveedor.

Si tienen más preguntas aprovechen la sección de comentarios para compartirlas.

Les recomiendo darle una leída a esta nota de DarkReading, si se ve dirigida a la temática del impacto de la seguridad en la reputación hace mención a la poca importancia que se le da al riesgo de terceros en la actualidad y la tendencia a que esa importancia crezca en el futuro cercano.

post

¿Cómo tratar la seguridad de la información en nuestros proveedores? Parte 1

Finalmente después muchos meses y muchos cambios he decidido retomar la actividad en el blog. En esta ocasión quisiera compartir algunas opiniones personales relacionadas directamente a mis actividades profesionales en la actualidad. Por esta razón he decido escribir unos cuantos posts al respecto.

Creo que no es novedad para nadie en el medio de la seguridad de la información el indagar sobre los controles de seguridad implementados por nuestros proveedores, controles que además de buscar asegurar las operaciones proveedor también impactan en asegurar la información que compartimos como parte de nuestros acuerdos de servicios.

En los últimos meses me he dedicado a analizar la seguridad de una serie de proveedores de la compañía para la cual laboro alrededor de Latinoamérica y me he topado con sorpresas bastante agradables considerando que tenía una expectativa muy diferente.

¿Seguridad de la información en proveedores? ¿Por dónde empezar?

Dos preguntas básicas con una respuesta corta y simple. ¡Por uno mismo! Sí como empresa queremos buscar que nuestros proveedores implementen controles de seguridad alrededor de los servicios que nos brindan, tenemos que empezar por establecer nuestro propio estándar de seguridad.

Una analogía un poco simple de ver esto es la de un doctor que mientras fuma te diga que no lo debes de hacer dado que afecta tu salud. Si uno como empresa no tiene establecido un programa de seguridad de la información difícilmente tendrá credibilidad en exigirle a un tercero contar con medidas iguales o superiores.

De la misma manera ese entorno/programa que logremos establecer debe mantenerse al día para que de tal manera posamos llevar las mismas actualizaciones a los requerimientos que le pediremos a los terceros.

Existen disponibles muchos frameworks en los cuales las empresas se pueden apoyar para definir ese programa de seguridad de la información. No es ninguna novedad la falta de profesionales en el área por lo que el contratar a un tercero puede también ser algo complejo. Por tal razón para finalizar esta primera parte les comparto algunas referencias que les pueden ser de utilidad:

Gestionar la relación con proveedores se volvió un control más amplio a implementarse desde la versión 2013 de ISO 27001, tomando también en cuenta la seguridad de la información en las relaciones con proveedores.

Este “nuevo” control exige considerar una política de seguridad de la información para proveedores en la cual se documenten los requisitos de seguridad de la información necesarios a cumplir con la finalidad de mitigar los riesgos asociados a proveedores y terceras personas.

También debemos tomar en cuenta el tratamiento de riesgos, estableciendo todos los requisitos de seguridad pertinentes a cada proveedor según el acceso, procesamiento y almacenamiento. El criterio de aceptación de riesgos relacionados a los proveedores también debe ser previamente establecido además del flujo necesario para dicha aceptación. Es fundamental que los riesgos aceptados lleven la firma de un líder de peso en el negocio.

En los próximos posts ahondaré más en cómo perfilar a nuestros proveedores y posteriormente algunas herramientas para realizar tales revisiones.

Existen varias otras referencias por lo que los invito a dejar sus recomendaciones en los comentarios.

Más sobre Security Frameworks: http://www.securityweek.com/importance-security-frameworks