No hay empresa que no tenga al menos un proveedor al cual tenga que confiarle cierta información y en algunos casos brindarle acceso a sistemas o aplicaciones de nuestra organización. Es natural, el problema es que se peca mucho de la extrema confianza provocando que terceros estén atentos a los descuidos y vulnerabilidades del sistema. En este artículo revisaremos tres aspectos escenciales para la gestión de seguridad de la información con nuestros clientes.

Concientización

Es importante que nuestros proveedores formen parte de nuestras capacitaciones de seguridad de la información al nivel de confidencialidad prudente según sus necesidades. Tiene que ser conciente de que en la organización existen políticas que deben estar presente en la relación que se pretende sostener dentro de la cadena de valor. El adicional en este punto está en brindarle capacitación efectiva al proveedor respecto a los sistemas que usa, mantener un registro de lo que se le capacita e informarle que está sujeto a un monitoreo constante.

Relaciones con los proveedores

Como organización que desea proteger sus activos de información es muy importante que documente explícitamente las políticas con sus proveedores o terceras partes que tramitan o necesitan su información. Aquí la pregunta es ¿Es necesario un documento por cada proveedor?, no, debería abarcar los aspectos generales que todo proveedor tiene como responsabilidad con los activos de su organización, luego, si es necesario agregue un anexo con ciertas particularidades para ese proveedor especificando que es para él (como un ficha). Por ejemplo, una empresa con presencia nacional en el mercado retail necesita contar con los servicios de un proveedor X de software, este proveedor de software necesitará concretar reuniones con los usuarios, acceder a datos, conexiones y ciertos accesos en el módulo de préstamos créditicios; puede que la misma empresa retail tenga otro proveedor Y de software (uno que esté viendo módulos como logística); creará una sola política para proveedores, los cuales X y Y deben cumplir, y para X le creará su propia ficha especificando los riegos y responsabilidades anexas de acceder a información delicada como los créditos de los clientes.

Seguimiento

La evaluación de rendimiento de los proveedores es parte un sistema de gestión de la calidad de servicio de una organización, muchas veces dependemos de servicios de terceros para que nuestro producto o servicio llegue a la manos de nuestros clientes, ¿y qué sucede si ellos fallan?. Antes de respondernos, será necesario revisar los contratos que tenemos con los proveedores y sus acuerdos de niveles de servicio, luego continúa revisar si las actividades relevantes por parte del proveedor para nuestro negocio mantienen rastro de evidencias de resultados, o algún tipo de mecanismo de seguimiento de cumplimiento de tareas, ya que éstos deben ser comparados con lo que se esperaba por parte del proveedor. Además es de mucha responsabilidad de la organización mantener indicadores de evaluación respecto a la seguridad de la información, como cantidad de incumplimientos en el mes, cantidad de reporte de incidencias, etc.

Consejo audit

Usted como organización con niveles de proyección mayúsculos necesitará trabajar en equipo con otras organizaciones, eso es inevitable, por lo tanto Ud. deberá velar por la seguridad de información que gira alrededor de sus proveedores. En audit realizamos un análisis de los riesgos relacionados con sus proveedores y la participación que tiene con sus colaboradores, gracias a nuestra plataforma le ayudamos en la gestión documental relacionada.