La externalización de servicios, en cualquiera de sus modalidades, representa la opción preferida por la mayoría de las organizaciones para reducir sus costes asociados a las tecnologías de la Información. El ecosistema de TI planteado, donde flexibilidad y precio son los indicadores predominantes, hace que cada vez sean más los proveedores, de todo tipo y tamaño, que para el desempeño de sus funciones tienen acceso a información de la compañía.
Proveedores de servicios de IT son los más representativos, pero no los únicos que generan, acceden, gestionan y soportan información y como es de esperar, aumentando la superficie de exposición aumentan los riesgos: se estima que el 18% de los incidentes de seguridad están provocados directamente por proveedores de servicios. Estos incidentes se sitúan además como los más caros en términos de daños, por delante de los provocados por ciber espionaje y los provocados por malware.
Claro ejemplo de ello son algunos de los incidentes relacionados con fuga de datos más relevantes del pasado 2015. Los ocurrido en la “Office of Personnel Management” de Estados unidos, dos para ser concretos, y la “Army National Guard”, que respectivamente provocaron que se expusieran datos de un total de 25 millones de trabajadores federales y otros 850.000 miembros de la guardia nacional, incluyendo números de la seguridad social, historiales académicos, residencia, salud e incluso historiales delictivos.
Ambos incidentes han sido relacionados con proveedores y subcontratados: el primero y más numeroso a través de un robo de credenciales aprovechado por un equipo de atacantes supuestamente chino, y el segundo con una transferencia de datos a un data center no acreditado.
Parece que tenemos bastante claro que las barreras digitales de nuestra organización van mucho más allá de la infraestructura TI que gestionamos, pero ¿y las barreras personales?, ¿tenemos claro dónde acaban?, ¿Conocen nuestros proveedores las políticas de seguridad de la información corporativas? Y, más allá de lo que se plasma en los contratos, ¿conocen de verdad los empleados de nuestros proveedores las políticas de seguridad de la información de nuestra organización?, y nosotros, ¿Velamos por qué las cumplan?, ¿les ayudamos a hacerlo?.
Desde hace tiempo se vienen tomando medidas al respecto, en forma de herramientas mayormente, para limitar y acotar tanto el acceso a la información, como el uso de la misma. Entornos VDI, enmascaramiento de datos, DLP/IRM, y un largo listado de posibilidades técnicas difíciles ya de gestionar en entornos corporativos, cuanto más en entornos que involucran más de una organización. Éstas, junto con los acuerdos de confidencialidad y clausulados de los contratos, representan en la mayoría de los casos las medidas de seguridad que se aplican.
Vayamos al siguiente nivel: establezcamos Programas de Gobierno de la Seguridad proveedores. No se trata sólo de medir si prestan servicios de acuerdo a un SLA, sino de corroborar que lo hacen con los mismos niveles de seguridad que se aplican dentro de la organización. En este sentido lo principal a tener en cuenta es:
– Conocer los proveedores y el nivel de acceso de los mismos a nuestra información.
– Conocer la naturaleza de información que tratan.
– Establecer marcos de control adecuados a la operativa del proveedor.
– Definir modelos y programas de revisión flexibles y efectivos, que permitan corroborar la efectividad de las medidas
Todo esto, además nos permitirá transmitir a nuestros proveedores nuestro compromiso con la seguridad de la información y por supuesto elevar nuestro grado de confort con el tratamiento que sobre la misma se realiza.
Hola. Saludos efectivamente, hay muchos detalles en el proceso diario de cualquier empresa que abre portillos, a veces invisibles por falta de conocimiento a los operarios, financieros, administrativos, ventas y de cualquier departamento que obligatoriamente se tiene que comunicar para negociar o concretas objetivos, a veces temporales, descuidando controles que en el corto o mediano plazo afecataran sin duda. Instruir y capacitar de las mejores inversiones siempre.