Como acceder de forma adecuada a la experiencia, la gestión y el apoyo de tus proveedores de servicios
La teoría dice que externalizar los sistemas de IT debería ser tan fácil como recurrir a socios externos para los servicios de RR. HH., nóminas, jurídicos o financieros.
Pero, ¿sabes exactamente lo que estás pagando a un proveedor de servicios informáticos (ITSP, en inglés)? ¿Y cómo sabes que estás obteniendo la mejor relación calidad-precio, además de todos los servicios y la seguridad que tu empresa necesita?
Dado el nivel de inversión necesario para garantizar que los departamentos internos de IT instalen las tecnologías, los controles y las habilidades correctas, no es sorprendente que las empresas que no tienen un departamento específico de IT busquen externalizarlo.
El reto para todas las empresas, independientemente de su tamaño y sector, es seleccionar al proveedor de servicios adecuado. El mercado es frenético y altamente competitivo.
¿Qué proveedor es el adecuado para tu empresa? ¿Comprenden tus necesidades, tu perfil de riesgo y tu estrategia? ¿Son proactivos? ¿Te apoyarán eficazmente en caso de infracción, incidente informático o ciberincidente?
Contratar los servicios de un servicio de recepción o de nóminas permite realizar revisiones sencillas, pero con un ITSP enfocado a estos servicios, identificar una gestión informática eficaz es mucho más difícil.
Riesgo en la cadena de suministro
Tanto los ITSP como los MSP prestan a las organizaciones servicios de soporte informático. Como ocurre con todos los terceros que procesan datos, existe el riesgo de que sean atacados tanto por delincuentes externos como internos, que podrían ganar acceso a muchas redes empresariales como consecuencia de ello.
Es un intercambio de seguridad; una organización se beneficia de la experiencia en seguridad del ITSP, pero para ello casi siempre tiene que conceder al proveedor acceso a sus datos.
Dado que los proveedores de servicios forman parte de la cadena de suministro, tu empresa está en su derecho de tener claro qué es exactamente lo que ofrece el proveedor de servicios. Evaluar las capacidades del proveedor es fundamental: una vez firmado el contrato (y, de hecho, tiene que haber uno para su protección) estáis atados el uno al otro.
Las evaluaciones de los proveedores suelen realizarse mediante un cuestionario adaptado a cada proveedor. Estas preguntas pueden formar parte de la fase de contratación, cuando se está tratando de identificar a un buen proveedor de servicios o, en el caso en el que tu empresa ya tiene contratado a un proveedor, para comprobar que hace lo que realmente dice.
¿Cuál es el problema?
Aunque los dueños de las empresas pueden transferir parte del riesgo, como parte que contrata los servicios de un tercero, tu empresa sigue siendo responsable de las consecuencias de los fallos informáticos y de seguridad.
Por ejemplo, si esperas una entrega a domicilio que no llega, presentarás una reclamación a la organización a la que compraste la mercancía y no al tercero contratado para entregarle el paquete.
Lo mismo ocurre con la prestación de servicios informáticos, ya que tu organización sigue siendo responsable de las consecuencias de cualquier fallo del servicio que pueda producirse. Por lo tanto, es crucial que asegurarse de que los proveedores de servicios externos pueden protegerte
Casos prácticos:
El riesgo es real y para ilustrarlo compartimos algunos ejemplos reales de lo que ocurre cuando la capacidad y la relación no funcionan:
La empresa A recibió correos electrónicos comprometidos que podrían haberse evitado utilizando la autenticación multifactor (MFA), es decir, el requisito de utilizar una contraseña y otro factor como un número pin o un dato biométrico. La sugerencia del proveedor de servicios informáticos había sido que el MFA era opcional y no sería apropiado aplicarlo para el equipo directivo. Este asesoramiento era erróneo, y fue un factor significativo que condujo al fraude en las facturas, costando a la organización 95.000 Euros.
Mientras que la empresa B contaba con seguridad de primera clase en sus portátiles y otros dispositivos, el proveedor informático no había informado a la empresa de que los servidores no tenían el software actualizado. Un delincuente explotó ciertas vulnerabilidades conocidas del sistema, lo que provocó un ataque de ransomware contra la organización, con un coste de 1,5 millones Euros.
La empresa C sufrió un ataque de ransomware y se puso en contacto con su proveedor de IT. Aunque el proveedor actuó diligentemente para responder y remediar la situación, no implicó a la empresa C, que como responsable del tratamiento de datos debería haber participado activamente en la investigación. Sin cooperar con la empresa C y compartir toda la información relevante del ataque, esto obstaculizó su capacidad para comprender sus obligaciones conforme al RGPD (Reglamento General de Protección de Datos). Esto supuso un importante coste adicional para la empresa C, ya que tuvo que llevar a cabo su propia investigación.
La empresa D se vio comprometida a través de un dispositivo de IoT (Internet de las Cosas) en la red principal de la empresa. El proveedor informático no evaluó las vulnerabilidades de la red. La base de datos de clientes se vio comprometida y los datos se exfiltraron a la dark web. La exfiltración de estos datos se notificó al ICO además de a los clientes, con daños a la reputación y costes adicionales.
Muchos de estos problemas se han experimentado debido a que las empresas tienen acuerdos contractuales ineficientes con sus proveedores de IT (y, lo que es alarmante, algunas no tienen contrato alguno). Un contrato es fundamental para garantizar que se acuerdan y documentan las expectativas, y debe revisarse periódicamente para asegurarse de que se cumplen todas las obligaciones.
Un buen proveedor trabajará junto con la organización y las partes interesadas pertinentes para garantizar que los riesgos se gestionan de forma eficaz, que su empresa está protegida y que no sufre daños.
Consejos para las empresas
Ponemos a tu disposición una lista de comprobación de elementos que puedas revisar con tu proveedor. Un buen proveedor podrá responder a estas preguntas con facilidad y aportar pruebas que lo respalden.
Es importante tener una comunicación eficiente con tu proveedor y que esta sea transparente.
Si tu proveedor te dificulta la obtención de respuestas a los requisitos básicos, puede que sea el momento de plantearse si es el proveedor adecuado para tu organización. Recomendamos realizar anualmente una revisión crítica de los proveedores. Al igual que muchas relaciones con proveedores, tu empresapuede haber crecido y evolucionado y, por tanto, lo que era adecuado para ticuando contrataste a un proveedor por primera vez, puede no serlo ahora.
Esta guía se ha elaborado en colaboración con Risk Evolves.