1 25 Table of Contents 27 140

seguritecnia 437

26 SEGURITECNIA Diciembre 2016 Opinión N inguna organización, inde- pendientemente de su ta- maño, puede f uncionar como un ente aislado. Esto es un he- cho que da lugar a lo que se conoce como “empresa extendida”, que debe tenerse en cuenta en la gestión de las organizaciones y que afecta muy espe- cialmente al área de seguridad. Cualquier organización tiene pro- veedores que les ayudan a producir sus productos y servicios. La mayoría tienen canales de distribución para comercializarlos. Y prácticamente to- das externalizan alguno de los proce- sos clave de negocio a terceros, para que los gestionen de manera más efi- ciente. La tecnología permite que equipos de trabajo de diferentes empresas tra- bajen en el mismo proyecto o compar- tan funciones y aplicaciones. Aunque esto supone un aumento de produc- tividad enorme para las compañías, esta forma de trabajo incrementa de forma exponencial los riesgos de ata- ques y fallos de seguridad. El períme- tro que debe protegerse se extiende, ya que cualquier fallo de seguridad en los terceros que se relacionan con la empresa es una amenaza para la orga- nización. Para cualquier responsable de Se- guridad ya es suficientemente compli- cado proteger sus propias redes, ser- vidores y aplicaciones, y asegurarse de que sus empleados no cometan erro- res que puedan exponer a la orga- nización. En un entorno de empresa extendida es imprescindible conocer también el nivel de seguridad y riesgo que tienen todos aquellos que se rela- cionan con la organización. Valoración de riesgo Un tercero que tenga acceso privile- giado a su red y que vea su seguridad comprometida otorgará a sus atacantes el mismo acceso privilegiado a los sis- temas de su organización. Se hace ne- cesario evaluar el nivel de seguridad de los colaboradores para tomar decisio- nes sobre la necesidad y el nivel de re- lación con cada uno de ellos, así como del tipo de controles que es necesario establecer. Cada vez es mayor el número de or- ganizaciones y empresas que toman consciencia de este problema y ponen en marcha diversos programas de Valo- racion del Riesgo de Proveedores ( Ven- dor Risk Management ). E s ev i dente que e l n i ve l de CiberRiesgo de la empresa, junto con la dificultad de establecer los contro- les adecuados, crece con el número de proveedores, con lo que se relaciona y se multiplica si muchos de ellos tienen acceso a información o sistemas críti- cos. Por tanto, es imprescindible esta- blecer un sistema que permita evaluar y reducir el nivel de riesgo que supone la cadena de suministro. Sin embargo, estos programas muchas veces no lle- gan a garantizar el nivel de protección que se busca, ya que son muy compli- cados de diseñar y llevar a término. En primer lugar, es necesario hacer un análisis lo más detallado posible de todos los proveedores y del tipo de datos y sistemas a los que tienen acceso. A continuación, hay que crear un equipo que diseñe la estrategia de CIBERSEGURIDAD EN LA CADENA DE SUMINISTRO (‘VENDOR RISK MANAGEMENT’) Cómo extender los criterios de seguridad y defensa corporativa a los proveedores para disminuir el nivel de riesgo de la organización Javier Carvajal / CEO de Icraitas Para que la empresa extendida funcione, los partners y colaboradores necesitan acceso a información y sistemas crí- ticos. Este es el gran problema de los responsables de Seguridad.

RkJQdWJsaXNoZXIy MTI4MzQz