Pasar al contenido principal

Pautas a la hora de contratar proveedores

Introducción

Hoy en día muchas empresas necesitan contratar servicios especializados (proveedores) que den soporte a parte de su actividad. Al externalizar, se persigue obtener mejores prestaciones (calidad, seguridad, rendimiento, fiabilidad…) a través de profesionales expertos externos en una materia determinada.

Una vez identificada las necesidades a cubrir por el proveedor, se analizan las distintas opciones presentes en el mercado según los criterios que hayamos establecido previamente y que hayan motivado la contratación. Hay que tener en cuenta que subcontratar ciertos servicios implica que en ocasiones otras organizaciones accedan a nuestros sistemas o a nuestra información y que en el caso de que sufran un incidente de ciberseguridad, nuestra organización puede verse afectada con el consiguiente daño reputacional, económico, etc. Es por ello que se recomienda tener en cuenta la ciberseguridad como un criterio a la hora de seleccionar el proveedor adecuado.

Objetivo

Reducir el riesgo de verse afectado por un incidente de ciberseguridad que sufra un proveedor.

Beneficios

Una correcta planificación a la hora de contratar proveedores obtendrá los siguientes beneficios:

  • Gestión del riesgo: Contratar un proveedor contribuye a gestionar el riesgo de trabajar en un entorno hiperconectado en el que hay multitud de amenazas que pueden afectar a la operativa de la organización.
  • Seguridad como ventaja competitiva: Contratar un proveedor especializado contribuye a realizar una óptima gobernanza de la ciberseguridad, lo cual, puede ser utilizado como una ventaja competitiva para la organización.
  • Resiliencia: Durante la prestación del servicio contratado intervendrán profesionales expertos que garantizarán la seguridad de la organización y que mantendrán la actividad del negocio en caso de ataque.
  • Reducción de costes: El establecimiento de medidas de seguridad a la hora de contratar proveedores reducirá el impacto en la organización en el caso de un incidente de seguridad.

Fases de contratación de servicios externos

Estas son las fases de la contratación de servicios en las que deberemos tener en cuenta la seguridad de la información:

  • Contratación de servicios: Establecer dentro del marco legal y normativo un contrato que siente las bases de la relación comercial entre ambas partes y de los elementos relacionados con la gestión de la información. Los diferentes tipos de contrato que podemos establecer son:
    • Contrato de confidencialidad: Un contrato de confidencialidad es un documento legal que protege la información confidencial de una organización para no ser revelada a terceros, hecho que podría producir un grave daño tanto económico como de reputación.
    • Contrato de acceso a datos personales: Un contrato de acceso o tratamiento de datos debe garantizar la seguridad de la información y debe delimitar el uso de los datos a los que se van a acceder.
    • Acuerdos de nivel de servicio: Es recomendable establecer o fijar unos acuerdos de nivel de servicio (Service Level Agreement) que permitan establecer las condiciones pactadas para los servicios contratados. Con estos acuerdos se establece cuál debe ser la calidad del servicio, así como las condiciones del mismo.
  • Transferencia de información: Si el servicio requiere del traspaso de información del cliente para que el proveedor pueda iniciar su actividad, es importante llevar a cabo las recomendaciones de seguridad básicas a la hora de tratar información.
    • Borrado de metadatos: Los ficheros incluyen una serie de propiedades como información del autor, el equipo en el que se ha creado, con qué programa, etc. Esta información puede utilizarse con fines ilícitos por un atacante por lo que se recomienda su eliminación.
    • Estar al día en cuanto a actualizaciones de los sistemas informáticos: La aparición de vulnerabilidades es algo continuo, hay que revisar y actualizar los sistemas informáticos continuamente.
    • Hacer uso de herramientas de borrado seguro cuando se desee eliminar información confidencial, o cuando se van a intercambiar soportes de almacenamiento de información con el proveedor. Con ellas se evita que la información pueda ser recuperada con posterioridad por personas que no deberían tener acceso a ella.
    • Establecer correctamente los permisos de aquellos directorios de trabajo compartidos que contengan exclusivamente la información confidencial necesaria para que el proveedor pueda realizar las tareas encomendadas.
    • Redes seguras: Es fundamental controlar el acceso no autorizado a los sistemas y redes de la empresa. Se recomienda el uso de cifrado para el envío o compartición de información confidencial.
    • Tener mecanismos de autenticación (autenticación en dos pasos, biométricos, etc.) y hacer uso de contraseñas robustas (contraseñas con más de ocho caracteres, no deducibles fácilmente y combinar mayúsculas, minúsculas, caracteres alfanuméricos y símbolos especiales)
    • Tener un plan de realización de Copias de seguridad periódicas.
  • Prestación y seguimiento del servicio: Una vez iniciado el servicio se recomienda llevar a cabo una auditoría continua tanto de la calidad del servicio contratado como de la seguridad de la información durante su prestación.
  • Finalización del servicio: Una vez finalizado el servicio es necesario garantizar la seguridad de la información teniendo en cuenta los siguientes puntos:
    • Realizar las acciones establecidas en el contrato de confidencialidad previamente firmado.
    • En caso de haber utilizado información de carácter personal realizar la destrucción o devolución de la información utilizada.
    • Retirar los accesos físicos y digitales proporcionados al proveedor para la prestación del servicio.
    • Desactivar o eliminar los usuarios que se hayan creado para la prestación de los servicios por parte del proveedor.
    • Cambiar las contraseñas de los usuarios que deban seguir existiendo y el proveedor haya utilizado
    • Restringir o eliminar los permisos de la información compartida en la nube.

Se muestran los aspectos a tener en cuenta para llevar a cabo una correcta supervisión y control en su cadena de suministros:

  • Gestionar los riesgos derivados de sus proveedores:
    • Clasificar a sus proveedores: Es importante implementar un proceso de clasificación de los proveedores en el cual permita estimar el riesgo asociado a cada proveedor. Para ello podemos tomar como referencia el valor y naturaleza (publica, confidencial, …) de la información que es transferida y procesada por sus proveedores, los activos o dispositivos que utilizarán, …
    • Medir la madurez tecnológica y en materia de ciberseguridad: Entender las infraestructuras y medidas de seguridad implementadas por sus proveedores.
    • Comprender los riesgos derivados de las relaciones con sus proveedores y contemplar los diferentes escenarios posibles y sus planes de acción.
  • Establecer medidas de control en su cadena de suministro: Unas correctas medidas de control permitirá supervisar e identificar proveedores o situaciones que puedan suponer una amenaza contra su organización.
    • Establezca unos requisitos de seguridad con sus proveedores: Se debe establecer unos requisitos mínimos de seguridad, ámbitos de actuación y procedimientos conjuntos en caso de que se produzca un incidente de seguridad.
    • Incluir medidas de seguridad en las clausulas de los contratos establecidos con los proveedores: Exigir el cumplimiento de medidas de seguridad que garanticen la información y el uso de los dispositivos implicados en el servicio.
    • Garantizar en su organización el cumplimiento de unas medidas de seguridad acordes a su nivel de riesgo.
    • Concienciar sobre el correcto uso de la información y los dispositivos electrónicos tanto a sus proveedores como a los miembros de su propia organización.
    • Colaborar con sus proveedores en la creación, planificación e intercambio de procedimientos de actuación o información sobre amenazas que ayude a la resolución de posibles incidentes de seguridad.
  • Supervise el cumplimiento de los acuerdos previamente establecidos a través de auditorías continuas.

  • Cree dinámicas que favorezcan la mejora continua de la ciberseguridad dentro de su cadena de suministros. Esto provocará mejorar conjuntamente en los diferentes procesos establecidos y generar confianza entre los actuales y futuros proveedores.

¿Dónde recibir asesoramiento?

Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Compartir

Compartir en Linkedin