Por José Hernán Morales Muñoz, Master en riesgos Digitales y Ciberseguridad.
Es claro la cada vez mayor preocupación de los gerentes de las empresas por el creciente impacto de las tecnologías de la información en el negocio, y el efecto de los incidentes de seguridad sobre la continuidad de procesos y la confiabilidad y confidencialidad de los datos. El Máster en riesgos digitales y ciberseguridad, José Hernán Morales, nos ilustra particularmente sobre los efectos de la creciente tercerización de servicios en la seguridad de las empresas.
El nuevo rol del Ingeniero de Tecnologías de la Información dentro de las Organizaciones.
El Business Process Outsourcing en adelante BPO es una tendencia a nivel mundial y el segmento de empresas especializadas en algo especifico es cada vez mayor, BPO está en crecimiento exponencial ya que el costo-beneficio de las entidades que implementan servicios tercerizados es beneficioso para las entidades.
Muchos de estos servicios tercerizados generan riesgos en dos factores importantes a considerar para la seguridad de la información, los cuales son: 1) Los terceros manejan información sensible de las entidades y 2) Ejecutan el servicio dentro de las instalaciones de las entidades con personal del ajeno a las mismas.
Es importante implementar controles apropiados para estos dos factores. Para el primer punto la entidad se debe asegurar de que el proveedor herede (Léase “cumpla, en la misma medida que la propia empresa”) las responsabilidades respecto a marcos regulatorios que le apliquen. Para el segundo punto buscar la forma de que los empleados del tercero adopten las políticas de seguridad de la información de la entidad. Estos controles deben quedar explicitados contractualmente para garantizar la seguridad de la información en los procesos de gestión de información contratados con el tercero.
Pero surge un problema mayor a controlar, que es como establecer controles tecnológicos sobre computadores personales propiedad de los empleados de los contratistas o sobre contratistas directos de la entidad.
Como evitar, por ejemplo, una sanción por la ley de protección de datos personales cuando se presenta una violación a la confidencialidad o integridad de datos personales desde una fuente (computador) gestionada por el servicio contratado con un tercero.
Si una entidad no cuenta con las buenas prácticas para la gestión de las tecnologías de la información, buenas prácticas para la seguridad de la información, buenas prácticas para la gestión de la Ciberseguridad, buenas prácticas para la gestión de la continuidad de negocio y transversal a todas estas las buenas prácticas para la gestión de riesgos digitales, entonces difícilmente podrá brindar aseguramiento apropiado a los datos de sus clientes, ciudadanos, contratistas, entre otros.
Si definitivamente una entidad opta por no implementar buenas prácticas debe utilizar controles complementarios como las pólizas de riesgos de seguridad de la información y ciberseguridad, las cuales permiten mitigar impactos financieros por riesgos que se materializan. Algunas otras entidades a pesar de manejar estas buenas prácticas tienen también estos controles complementarios ya que no admiten impactos altos por afectaciones en sus activos de información.
Se convierte en una necesidad la gestión de proveedores ante este panorama. Luego, el nuevo rol del personal de Tecnologías de la información dentro de una organización será de interventor. Interventor que deberá vigilar tres aspectos: Técnico, Administrativo y Financiero. Dentro del aspecto técnico se evaluaría los niveles de acuerdo de servicio, la calidad de los servicios y la oportunidad de los servicios. Dentro de lo Administrativo se revisará el apropiado manejo del talento humano de la entidad que ofrece BPO, esto es, corroborar que el personal del tercero este satisfecho con su trabajo y tiene comportamientos éticos con la información que gestionan. Y por último, en el aspecto financiero se debe evaluar constantemente la calidad y oportunidad de los servicios para autorizar los respectivos pagos. El aspecto financiero tiene un componente importante en la etapa pre contractual que consiste en la creación de un apropiado esquema de niveles de acuerdo de servicio (SLA: Service Level Agrement, en inglés) y un apropiado esquema de penalizaciones por el no cumplimiento de acuerdos de servicio o de infracciones a las políticas de seguridad de la información de la entidad.
En el aspecto técnico es importante considerar análisis técnicos sobre la plataforma tecnológica de los terceros, es pertinente realizar análisis de vulnerabilidades y estudios de ethical hacking que permiten evaluar si los controles tecnológicos del proveedor son los apropiados.
No se trata de excluir de manera inmediata a aquellos proveedores que aún no tengan implementadas las buenas prácticas para la seguridad de la información o los controles tecnológicos adecuados para el aseguramiento de los datos sensibles que gestionen de una entidad. Lo importante es que estos proveedores establezcan un plan de acción a corto plazo para garantizar la confidencialidad, integridad y disponibilidad de la información de la entidad a la cual brindan sus servicios.
Es claro que si las entidades vigiladas (sector público, sector financiero, sector asegurador, sector cooperativo, entre otros), deben cumplir dentro de su marco regulatorio con la implementación de las buenas prácticas para la seguridad de la información y la ciberseguridad; aquellos terceros que les brinden servicios donde se gestiona información sensible de la entidad -como datos comerciales, secretos industriales, estrategias entre otros o datos personales de sus clientes o ciudadanos- deben heredar las responsabilidades enmarcadas dentro de un marco regulatorio. La mejor práctica es certificar todas estas empresas en la norma ISO 27001, certificado que brindará confiabilidad de parte de los contratantes y certificado que omitiría la necesidad de realizar auditorías a terceros que cuenten con esta certificación.
También será importante contar con un tercero especializado en seguridad de la información y ciberseguridad que brinde un servicio de auditoría a proveedores. Esta responsabilidad es del rol Oficial de Seguridad de la Información de la entidad contratante, pero es claro que muchos de ellos no contarán con el tiempo suficiente para auditar terceros y por otro lado existen muchas entidades que no cuentas con este rol.
Sea cual sea la estrategia que se establezca para gestionar el aseguramiento por parte de los terceros, lo importante es no confiarnos únicamente por un contrato de servicios o por un documento firmado por el representante legal de la empresa que ofrece el servicio, podríamos estar ante una falsa sensación de seguridad.
Realizado por:
José Hernán Morales Muñoz
Master en riesgos Digitales y Ciberseguridad
www.eticaytecnologia.com se especializa en servicios para la gestión de la Seguridad, aplicación de estándares internacionales de seguridad y continuidad de negocio.
