En esta oportunidad vamos a compartir algunos aspectos sobre un tema cada vez más frecuente y relevante en el marco de un “Programa de Ciberseguridad 🛣️” y es la Seguridad de Terceras Partes. Los proveedores, socios de negocios, partners, aquellos con los que se realiza algún tipo de intercambio de datos, provisión de servicios, integraciones, etc.
Este tema hace unos años era una cuestión de “grandes empresas” o “multinacionales”, pero hoy en día es una temática que impacta a todo tipo de empresas, profesionales independientes, startups, etc. Sobre todo también, debido a la creciente exportación de servicios de la “industria del conocimiento 🧠”. Por lo tanto, es muy probable que cualquier profesional, empresa chica, mediana o grande, para brindar servicios a un cliente del exterior, regulado o bajo un programa de ciberseguridad impulsado por su casa matriz, como parte de su proceso de onboarding, deba ejecutar un “Due Diligence” o “Third Party Assessment (TPA)”.
Como parte de los servicios profesionales de SECURETECH ⚡#HacerLasCosasBien, nos toca estar en ambos lados, es decir, ejecutando “Due Diligence” a terceras partes de nuestros clientes (o potenciales terceras partes, si pasan el “due diligence”) o bien, respondiendo los que nuestros clientes reciben de sus clientes 📋.
El resultado del due diligence tiene un impacto en la clasificación de riesgo 🚦 del proveedor respecto al cliente y podría significar un incremento (riesgo bajo) de oportunidades de negocio o una disminución (riesgo alto) de los mismos.
Al momento de responder un due diligence 📝 se debe conocer a detalle el “Modelo Operativo” ofrecido al cliente, ya que es fundamental para tener certeza de los detalles del servicio, que impactan en las respuestas a las preguntas de los cuestionarios.
El due diligence es un proceso que impacta a toda la organización, por lo tanto, se debe contar con un proceso interno que involucre a todos los actores relevantes para que cada uno responda por su área de incumbencia. Por ejemplo: Legales, Recursos Humanos, Data Privacy, IT, Seguridad, Facilities, etc.
<aside> ⚠️ A veces algunas áreas se entusiasman y responden rápidamente por temas que los exceden o desconocen, por eso es muy importante que la respuesta de requerimientos cuente con un proceso formal y ordenado que mitigue el impacto de respuestas erróneas.
</aside>
<aside> 🗣️ Lamentablemente, luego de muchos años de haber ejecutado due diligence, es una regla básica que se requiera evidencia, ya que en muchos lugares hay gente muy optimista que responde afirmativamente sobre temas que no puede demostrar (🎸) implementados.
</aside>
El due diligence una vez que los servicios están activos (contratados) debe estar debidamente definido en el contrato, dado que responderlos lleva tiempo y ese tiempo debe tener límites y alcances bien definidos. Suele ser un estándar que para proveedores críticos la evaluación sea anual y para proveedores de baja criticidad, sea cada 3 años, con una notificación de al menos 45 a 60 días de anticipación.
Al momento de tener que trabajar en un due diligence, ya sea ejecutándolo o respondiéndolo es fundamental entender el modelo operativo involucrado en el ejercicio. Este entendimiento permitirá que se puedan analizar los riesgos, contexto, criticidad con mayor certeza, permitiendo que el ejercicio sea realista y adecuado al negocio bajo análisis.
<aside> 🚨 Lamentablemente no en todos los ejercicios esto se realiza, lo que genera desafíos adicionales que finalmente impactan en los tiempos, la rigurosidad del resultado, una mala clasificación de riesgo e incluso impacto negativo en el negocio debido a conflictos y discusiones, que pudieran haber sido saldadas con un proceso mejor definido. Un ejemplo concreto es cuando el formulario es genérico y a todo proveedor se le pide lo mismo (generalmente lo más exigente) lo que significa que el proceso será tedioso y problemático. ¿Se imaginan la ISO 27002 completa para un proveedor de datacenter y para un servicio de manpower?
</aside>
Cuando el modelo operativo se ha relevado y se conoce, se puede dimensionar el riesgo de mejor manera y las preguntas o áreas de interés se pueden adaptar a un escenario realista y aplicable en donde tanto proveedor como cliente se sienten cómodos y valoran el ejercicio. Algunos de los aspectos que se deberían considerar como parte de este análisis son: