La externalización de funciones NO pueden dar lugar a la delegación de las responsabilidades
Hoy comenzaba mi jornada laboral leyendo un mensaje de un compañero que nos alertaba de otra brecha de seguridad en un proveedor de TI que ha tenido impacto en una gran empresa nacional, que ha tenido que cambiar las contraseñas de los perfiles de todos sus usuarios.
No parece que el impacto se grande, no se trata de un “ransomware” que se lleva los datos, no han perdido las infraestructuras por un incendio, …
Sin saber la gravedad real del incidente en el proveedor, lo que sí está claro es que ha requerido acciones por parte del cliente y daño reputacional a su marca. Y yo me pregunto:
¿Habrá hecho una valoración del daño que le ha supuesto?
¿Habrán sometido al tercero a una evaluación de proveedores, con un cuestionario infinito, cuando contrataron el servicio?
¿El proveedor se habrá asegurado de que tiene implementadas todas las medidas de seguridad que ha firmado por contrato?
¿Tendrían Sistemas de Gestión de Seguridad de la Información Implantados?
¿Habrá sido solo un cumulo de mala suerte?
Y sin tener respuesta, vuelvo a recordar lo que leo cada día:
“Cuando se utilicen recursos externos a la organización, sean servicios, equipos, instalaciones o personal, deberá tenerse en cuenta que la delegación se limita a las funciones.
La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización.
La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.”
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en su media de seguridad para Servicios externos [op.ext], lo especifica claramente
El objeto del ENS son los servicios e información utilizados en medios electrónicos que se gestionen en el ejercicio de las competencias de las Administraciones públicas, no los servicios de una gran empresa, pero deja muy claro cómo debemos plantear cualquier externalización:
- Analizando la capacidad del proveedor para realizar el encargo, identificando y tratando los riesgos.
- Asegurando que proveedor y cliente entienden de la misma forma, tanto el servicio y sus compromisos, como las medidas de seguridad que requiere el proceso.
- Confiando en que el proveedor como un socio que va a realizar el encargo de la forma más profesional.
- Estableciendo los mecanismos de control periódico que nos permitan evidenciar que se cumple el encargo y se aplica las medidas de seguridad comprometidas.
También tenemos en el mercado pólizas de seguridad de ciberriesgos, pero difícilmente nos cubrirá sin demostrar la no dejación de muestras funciones en el encargo.
La mejor opción es gestionar los servicios de los terceros como una extensión de los propios, somos dos eslabones de la misma cadena 😉
Miembro del Comité de Asturias de itSMF España