top of page

MI PROVEEDOR, MI SOCIO Contratación de terceras partes, cuando dejamos de ver la letra chica del con


La contratación de proveedores es un punto crucial en el marco de cumplimiento de cualquier compañía, recordando que no solo hablamos de la simple contratación de servicios o productos, sino que lo que estamos realizando, es la adquisición de recursos o procesos externos que completan nuestros procesos internos, para que éstos últimos puedan cumplir con sus objetivos de negocio. Y lo que lo hace más complejo aún, es el hecho de no perder de vista nuestras necesidades de cumplimiento, ya que a su vez necesitamos dar respuesta a nuestras exigencias regulatorias, contractual con clientes, y a nuestro propio marco normativo.

Bajo esta visión debemos enmarcar el concepto de “proveedor crítico”, cuya principal propiedad para ser calificado de esta forma, es estar directamente relacionado con un proceso crítico de nuestro negocio, sin importar si lo contratado es un producto o un servicio. Revisión de procesos, relevamiento de impacto en el negocio, desarrollo de planes de continuidad, son solo algunas de las herramientas que pueden ayudarnos a identificar a nuestros proveedores estableciendo cuan crítica es nuestra dependencia hacia ellos, ahora bien ¿Esta es la forma en la cual debiera de identificarlos? Seguramente no.

En estas tres prácticas mencionadas, la identificación se refiere a descubrir una propiedad de “critico” sobre un proveedor ya existente en la compañía, que ofrece sus servicios o productos bajo consideraciones que hasta el momento de la evaluación, no sabemos cuan de acuerdo están con nuestras políticas internas o externas, sin mencionar los requisitos a cumplir con nuestras obligaciones internas o contractuales con clientes.

Indefectiblemente se debe imponer una práctica, en la selección de nuestros proveedores, que nos permita establecer los parámetros necesarios y acordes para una contratación respecto del proceso de negocio en el que van a participar, su porcentaje de participación y el objetivo a cumplir por ese proceso. Debido a ello es que se impone establecer una gestión completa sobre nuestros proveedores, desde su selección hasta el control de su gestión ¿Y cuáles podrían ser las entradas para sentar las bases de esta gestión? Una de ellas puede ser un proceso de revisión de proyectos en el cual podamos identificar y medir la participación de un proveedor, y así establecer las condiciones operativas y de cumplimiento que el mismo debería contar para ser incluido dentro del proceso que estamos diseñando.

Si bien en este artículo podemos referirnos a aquellos proveedores asociados a la tecnología, este mecanismo no es privativo únicamente a áreas de TI o de seguridad de la información; todas las áreas de una compañía diseñan o modifican habitualmente sus procesos de negocio, incluyendo proveedores que realicen actividades delegadas o provean productos que ayuden de una forma más eficaz y eficiente a cumplir con el objetivo de ese proceso de negocio. Lo que también habitualmente pasa es que, al momento de la evaluación, solo se revisan aspectos económicos relacionados con la contratación, dejando de lado todo tipo de riesgos operacionales y de seguridad que en su mayoría son los que realmente van a dar un impacto negativo en el resultado económico, de imagen y reputación de la compañía.

Como sabemos, las áreas tecnológicas a través de los servicios de TI y de seguridad de la información, son las que deben asegurar al negocio la disponibilidad operativa de los sistemas y la confidencialidad, integridad y disponibilidad de la información, siendo esto crucial teniendo en cuenta la alta dependencia tecnológica y los cada vez más novedosos e incontrolables avances en materia de recursos en esta área aplicados a la obtención de resultados para el negocio. Esto requiere que se establezcan medidas de gestión y control que aseguren la calidad de servicio mediante la evaluación, selección y seguimiento del proveedor, contratado o a contratar, para las áreas de TI y de seguridad de la información, y en todas las unidades de negocio de la compañía en general.

Un detalle importante, y que generó que luego de una encuesta la British Standards Institution (BSI) publicara la especificación PAS 7000:2014 de gestión del riesgo de la cadena de suministro para la precalificación del proveedor, es que la mayoría de las organizaciones tienen información completa de solo el 15 por ciento de sus proveedores, lo que implica que sobre el 85 por ciento restante de sus proveedores directos no poseen información completa, y muy a menudo tienen poco o ningún conocimiento sobre sus procesos, personas y equipamiento que proporciona el producto o servicio adquirido. Por ello, se debe tener en cuenta que la compañía es responsable de cualquier tipo de cumplimiento y del tratamiento que se hace de la información cuando contrata servicios de terceras partes, y por ello debe velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a la compañía, por ejemplo, SOX, PCI, regulación bancaria, incluyendo la legislación sobre protección de datos personales local y regional, dependiendo del tipo de servicio y alcance de la contratación.

Por tanto, las garantías exigibles a nuestros proveedores deben ser las establecidas en las leyes y sus reglamentaciones que alcanzan a nuestra compañía, y por eso las áreas tecnológicas deben tener en cuenta lo siguiente al optar por integrar a un proveedor a sus servicios, actuales o en diseño: Conocer las necesidades de aplicación para el Negocio, Identificar los riesgos y requerimientos de control, Seleccionar recurso de TI y el estándar de evaluación asociado. En relación a las responsabilidades en esta gestión, podemos identificar estos cuatro principales actores, en el caso de la adquisición de servicios o productos tecnológicos:

· Áreas tecnológicas: Quienes están a cargo de instrumentar los mecanismos necesarios para dar cumplimiento y poner en práctica las pautas de seguridad de la información en la contratación de sus proveedores y contratistas, e informar a la Gerencia de Compras sobre las condiciones de seguridad requeridas para cualquier tipo de producto o servicio a contratar o adquirir, basado en el Marco Normativo

· Seguridad de la Información: Quienes deberán verificar que los contratos de productos y servicios informáticos cumplan con los preceptos establecidos por el Marco Normativo, y que los proveedores y contratistas realicen sus tareas conforme a las medidas de seguridad establecidas

· Compras: Su responsabilidad es la de informar y exigir a los proveedores seleccionados para prestar servicios o proveer productos para las áreas tecnológicas, las condiciones de seguridad requeridas para cualquier tipo de producto o servicio a contratar o adquirir

· Áreas Usuarias: Son responsables de convocar a las áreas tecnológicas y de seguridad de la información en todo proceso de compra en los cuales esté involucrada la información de la compañía, en cualquiera de sus formas (electrónica o física) y en los casos de la contratación de servicios tecnológicos o compra de software.

La selección, contratación y posterior control de proveedores desde las áreas tecnológicas y como una gestión integral, debe verse como un complemento a los procedimientos formales del área de compras, ya que establece las previsiones que se deben tomar en consideración a la calidad del servicio y la seguridad de la información en la contratación de proveedores y contratistas para éstas áreas, teniendo en cuenta la identificación de los requisitos de seguridad básicos y necesarios a cumplir por proveedores y contratistas, como por ejemplo la necesidad de que el personal del proveedor asignado al servicio, debe comprometerse a adquirir un conocimiento acabado sobre el proceso en el cual va a participar y cumplir con las políticas, normas y procedimientos de seguridad de la compañía. Recordar además que, las medidas de seguridad a implementarse para la realización de las tareas del proveedor, deben ser documentadas en el contrato de servicios, satisfaciendo el cumplimiento de los estándares de integridad, confidencialidad y disponibilidad establecidos por la compañía

El análisis propuesto por la norma arriba mencionada, PAS 7000:2014, nos propone revisar temas dentro del análisis de riesgos, asociados a aspectos de nuestros proveedores o futuros proveedores, que habitualmente no revisamos, poniéndolos en dos ejes que aportan definiciones para una mejor selección:

· Módulos temáticos "Core": Perfil de la compañía, Capacidades, Información Financiera y Seguros, Gobernanza empresarial, Políticas de empleo, Salud y Seguridad, Protección de datos, Gestión Ambiental, Gestión de la Calidad

· Módulos temáticos "adicionales": Ética empresarial, Trazabilidad de la cadena de suministro, Gestión de la Seguridad de la Cadena de Suministro, Práctica Disciplinaria y Abuso, Gestión de la Continuidad del Negocio

Esta apertura de temas y cruce en estos dos ejes, nos ayuda a interpretar la necesidad de contar con una evaluación completa para establecer los riesgos en la contratación y ver su asociación directa con el alcance de las actividades y la identificación de los niveles mínimos de prestación de servicio, tipo y condiciones en la cual debe ser prestado. Otros aspectos importantes están relacionados con la tolerancia para nuestro proceso, a la participación de subcontratistas dentro del servicio que estamos contratando, ya que con ello estamos ampliando nuestro espectro de riesgo operativo y de cumplimiento, debiendo imponer a nuestro proveedor la posibilidad de auditar también a sus proveedores, sobre la base de la criticidad para nuestro negocio tanto en la parte operativa como en los compromisos de confidencialidad de la información a la que tenga acceso el proveedor y su subcontratista.

Otros posibles riesgos, no evaluados frecuentemente, están relacionados a los cambios organizacionales en las compañías, por lo que se deben tomar medidas a reflejarse en el cuerpo principal del contrato y que están asociadas con mecanismos de notificación de cambios en el control accionario y cambios de niveles gerenciales. Este tema no es menor, ya que como saben, todo cambio organizacional de estas características puede acarrear un cambio en la misión y visión de nuestro proveedor, afectando a sus procesos de negocio y que indefectiblemente impactan en los procesos de servicios que nos proveen y que, como proveedores críticos, tendrán un impacto directo en nuestros procesos o servicios internos. En conclusión, estos cambios organizacionales pueden acarrear cambios en los procesos de servicios contratados que modifiquen su objetivo, o en el peor de los casos, hacerlos desaparecer.

Pensando en la delegación de actividades de administración, transmisión y/o procesamiento de datos, seguridad, sistemas o tecnologías relacionadas, y cuáles podrían ser los principales ítems a tener en cuenta en mi análisis de riesgo a proveedores dentro del diseño de un servicio tecnológico o un análisis de factibilidad en un proyecto de negocio, los mismos podrían ser:

· Participación de subcontratistas en el proceso Core del servicio

· Proceso de servicio inadecuado o fuera del estándar de cumplimiento de la compañía

· Fallas en el servicio que ocasionen problemas regulatorios, daño de imagen o pérdida económica

· Compromisos de confidencialidad, integridad o disponibilidad de la información.

· Falta de capacidad técnica y documental para la gestión del servicio

· Dejar de prestar los servicios parcial o totalmente, o que el proveedor deje de operar en el mercado

TI, en colaboración con el área de seguridad de la información, definen planes de control y monitoreo de las actividades delegadas, los cuales se ejecutan con una periodicidad acorde al nivel de criticidad de la actividad. Los planes deben estar alineados a lo establecido por la Política de Seguridad de la Información de la compañía, documentados de acuerdo a lo requerido por la regulación y revisar periódicamente:

· La ejecución del proceso del servicio, documentación, recursos y gestión de terceros

· Los contratos de servicio y su nivel de cumplimiento

· El entorno físico y lógico de la prestación del servicio

Fig 1 - Ciclo de la gestión de proveedores

La delegación de actividades en servicios tecnológicos críticos para la compañía, deben incluir: los requisitos de notificación entre el cliente y el proveedor en los planes de respuesta a incidentes, los procesos y los plazos de notificación en los SLA, la potencial solicitud de información, solicitud de registros y evidencias al proveedor durante una investigación, así como incluirlo en el proceso de resguardo y custodia de evidencias. Una de las formas más prácticas para visualizar y asignar en forma adecuada estos requisitos, es el desarrollar una matriz de responsabilidad compartida entre el proveedor y la compañía, apoyando su confección con la intervención interdisciplinaria de diferentes sectores de la compañía (Legales, Tecnología, Seguridad Informática, Desarrollo, etc.), lo que nos permitirá mitigar riesgos robusteciendo la seguridad de nuestra compañía en base a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el proveedor.

Los nuevos servicios surgidos por los constantes avances tecnológicos, nos llevan a contemplar seriamente cuales deben de ser los principales aspectos y requisitos en la contratación de servicios tecnológicos, los que deben considerar la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los mismos, así como aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la operación de los servicios de TI y la seguridad de la información. Definir un adecuado mecanismo de delegación de actividades propias de las áreas tecnológicas y de seguridad de la información hacia Terceras Partes, requiere de un enfoque bajo el cual se establezcan pautas para facilitar la interlocución con los proveedores de servicios tecnológicos, el control sobre su gestión operativa y la revisión del cumplimiento regulatorio.

Como mencionamos antes, la delegación de la operación no implica una delegación de responsabilidad, por lo cual aquello que dejemos de Operar y Administrar debemos Controlarlo y Auditarlo. Basados en esto, los aspectos y requisitos contractuales que debemos de tener en cuenta son:

  • Contar con una cláusula de confidencialidad

  • Penalidades relacionadas con la divulgación total o parcial de la información confiada

  • Una cláusula de responsabilidad por la integridad de los datos ante errores de operación

  • El conocimiento y consentimiento de las Políticas de Seguridad de la compañía por parte del proveedor

  • En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e incluir su inventario en el contrato como “Anexo Técnico”

  • Exigir contractualmente evaluaciones de vulnerabilidad y pentest, la existencia de una estrategia de gestión de riesgos y un plan de respuesta para la continuidad de negocio, sobre todo que incluya el proceso en el que se desarrolle el servicio o producto contratado

  • Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos asociados al servicio contratado, por parte de la compañía o de empresas contratadas para tal fin

  • Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación, en cuanto al acceso a los datos y a toda documentación técnica relacionada (metodología del servicio, procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las instalaciones del proveedor a definir por la compañía.

En concreto, lo arriba mencionado determina que el contrato de prestación de servicios debe suscribir como mínimo las siguientes clausulas orientadas a la seguridad de la información:

Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por la compañía. En caso que se trate de datos personales también es necesario el consentimiento del titular de los datos.

Cumplimiento de legislación de protección de datos de carácter personal y sensible. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la compañía decida trasladar al Data Center del Proveedor (sea el caso de servicios de housing/hosting o bien de cloud computing), con todas las obligaciones propias de tal figura tal y como se recogen en la legislación local. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de su país de origen, ha de asumir las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la legislación local, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.

Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la compañía, y a quien él determine con los perfiles de acceso correspondientes. En caso de que la compañía trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.

Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.

Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.

Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la compañía en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.

Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento diligente de las garantías ofrecidas a la compañía para la protección de datos por parte del proveedor permitirá excluir la responsabilidad de la compañía.

“Tengamos en cuenta que la contratación de un proveedor representa la selección de un “socio”, que elegimos para apoyarnos en sus fortalezas en pos de cumplir con el objetivo de nuestros procesos, sean estos de negocio o relacionados con los servicios tecnológicos, por lo que una buena gestión sobre todo el ciclo de vida de la contratación nos asegurará los resultados esperados.”

· La gestión de incidentes y gestión de cambios del proveedor

· La gestión de respaldos de la información y continuidad de los servicios

· Los niveles de satisfacción y cumplimiento respecto de los clientes internos


Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB
Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page