Desde hace unos años, las instituciones y los departamentos corporativos dedicados a la seguridad han puesto su foco en los posibles problemas relacionados con la seguridad, en todos sus ámbitos, que pueden causar los proveedores de productos y servicios.
En el caso de las grandes empresas, el problema se ve acrecentado por su compleja estructura, la dispersión geográfica, el enorme número de proveedores y la ingente cantidad de contratos que se firman todos los años.
Debido a ello, para mitigar este riesgo de seguridad, nuestra propuesta se basa en focalizar la evaluación previa de proveedores en sus certificaciones y en las agencias de rating de ciberseguridad de empresas, complementadas, cuando se considera imprescindible, con procesos de auditoría de seguridad internos o externos.
Una vez garantizado que la empresa cumple con los estándares de seguridad que consideramos necesarios, por el principio de corresponsabilidad, la tarea de comprobar la seguridad de cada uno de los servicios o productos contratados a dicha compañía se traslada a las áreas gestoras.
Dado que el personal de las áreas suele carecer de los conocimientos necesarios para incluir en sus pliegos los requisitos y controles de protección pertinentes, el área de seguridad ha centrado su esfuerzo en el desarrollo de una aplicación web accesible a todos los empleados, que permite, de una manera muy sencilla, preparar en pocos minutos los anexos de seguridad necesarios para adjuntar a los pliegos de licitación. La solución permite posteriormente automatizar el proceso de evaluación técnica de las ofertas de los posibles proveedores, haciendo sencilla la tarea de comprobar las carencias de seguridad, sus posibles implicaciones y la forma de mitigar o asumir esas carencias si se consideran subsanables.
Nuestra propuesta se basa en focalizar la evaluación previa de proveedores en sus certificaciones y en las agencias de ‘rating’ de ciberseguridad
Durante la fase de ejecución de los servicios, la aplicación automatiza la realización de controles de seguridad por parte de los responsables de los servicios a través de formularios y check-lists que indican exactamente los puntos a comprobar. De esta manera, la aplicación permite saber si se cumplen los requisitos de seguridad del servicio, si debe obligarse al proveedor a tomar medidas correctivas, si han de aplicarse penalizaciones o, incluso, si tiene que considerarse la rescisión del contrato por incumplimiento flagrante.
Antes de la finalización del contrato, la aplicación también ofrece al responsable del área gestora un check-list de las acciones y comprobaciones que debe llevar a cabo, con el objeto de garantizar que el proveedor del servicio realice una entrega o un traspaso del servicio adecuado.
Posteriormente, la información de cada uno de los contratos incluidos en el sistema se correla de forma que permite conocer, por ejemplo, cuáles son las amenazas que se han materializado, los dominios de seguridad con más debilidades o los proveedores con más incumplimientos.
Toda esta información se usa para realimentar el sistema, lanzar iniciativas de seguridad en la organización, reforzar los puntos con más vulnerabilidades e, incluso, llegado el caso, cancelar la relación de la empresa con aquellos proveedores con menor nivel de cumplimiento.
