Cumplimiento de estándares internacionales en ciberseguridad, una decisión estratégica para la exportación de servicios y software al hemisferio norte.

 

En un contexto de crecientes riesgos de ciberseguridad, en donde los proveedores de las organizaciones tienen un rol cada vez más importante, la madurez del proceso de gestión de riesgos de proveedores  (Third Party Risk Managment) tiene una relación directa con la ciberseguridad de las organizaciones.

Los proveedores y terceras partes en general constituyen un escenario de preocupación especialmente importante para los  Oficiales de Seguridad (CISO) de cualquier organización de primer nivel a nivel global.

Si bien es cada vez mayor la necesidad de subcontratar servicios y procesos operativos, y es algo de la cual la industria de software y servicios profesionales del Uruguay y América Latina en general espera seguir beneficiándose, la necesidad de contar con altos estándares de madurez en materia de seguridad de la información, protección de datos personales y ciberseguridad es algo que no puede ser minimizado ni considerado un simple requisito a cumplir.

Los riesgos de terceras partes en muchas pólizas de seguros ante incidentes de ciberseguridad pueden estar especialmente excluidos, razón por lo que también, el contar con pólizas ante incidentes de este tipo se vuelve gradualmente un elemento más a considerar para las empresas que deseen exportar servicios profesionales a EEUU.

En este contexto, los Gerentes Comerciales de los exportadores de software y servicios profesionales desde hace años vienen observando el creciente número de cuestionarios a completar con preguntas cada vez más detalladas respecto de la vigencia de controles administrativos, técnicos y físicos adecuados para preservar la ciberseguridad de la empresa.

El nivel de riesgos que el proveedor actual o potencial constituye para la empresa, determina naturalmente el nivel de madurez requerido, y el grado de detalle con la que las respuestas y evidencias a enviar deben ser generadas. Esto a su vez depende del tipo de servicio brindado y el acceso a datos del cliente que la empresa proveedora tendrá.

Un proveedor de desarrollo de software sin acceso a datos sensibles, o a la infraestructura de sus clientes, tendrá diferentes niveles de requisitos que un proveedor de una plataforma en la nube, que aloja datos de sus clientes y mantiene un control directo sobre esos entornos. Este último no solo tendrá requisitos respecto de sus controles y proceso internos, sino también del nivel de ciberseguridad de su plataforma y ambiente.

En este escenario, es natural que muchas empresas prestadoras de servicios y soluciones se pregunten cuál es el marco o estándar internacional para tomar como referencia y contra el cual alinear nuestros procesos y controles.

Como en muchos otros escenarios, las empresas norteamericanas durante mucho tiempo han tomado como referencia elementos locales, como ser estándares y marcos de referencia desarrollados por el NIST (Instituto Nacional de Estándares y Tecnología de los EEUU), o han requerido que sus proveedores contraten auditorías en base a marcos definidos por el Instituto Americano de Contadores (AICPA) como SOC 2. 

Según el tipo de servicio brindado, y si la empresa cliente cotiza en una bolsa de valores en los EEUU, el tipo de marco de referencia a aplicar puede variar.

No obstante, desde hace ya varios años las normas ISO de gestión de la seguridad de la información, protección de datos personales y gestión de la continuidad del negocio, ampliamente reconocidas a nivel mundial desde hace décadas, han aumentado su reconocimiento en los EEUU, y son hoy claramente una excelente alternativa para otros marcos o requisitos específicos de ciertas industrias, regiones o estados.

El alinearse con normas ISO, como la ISO/IEC 27001 permite tener una línea base de negociación para cumplir los requisitos de cualquier cliente en los EEUU o Europa, y sobre el cual eventualmente sumar controles adicionales específicos que pueda requerir el cliente o la industria.

Una limitación de las certificaciones otorgadas en base a las normas ISO es la calidad de la organización de auditoría que lo otorga, y ante qué organismos se encuentra acreditada. Estas acreditaciones son otorgadas por organismos nacionales de diferentes países del mundo.

Ante este escenario, o como complemento de las certificaciones ISO, cada  vez son más las empresas que utilizan índices o rankings brindados por ciertas empresas de alcance global que brindan plataformas para la gestión de ciberseguridad de terceras partes, que no solo permiten simplificar el manejo de cuestionarios de evaluación, sino que en muchos casos incluyen evaluaciones externas de la madurez de los controles externos de la empresa.

Así como hasta ahora estamos acostumbrados a escuchar sobre la nota otorgada por grandes empresas sobre la calidad del manejo de la deuda de un País, o una Empresa, escucharemos con cada vez más frecuencia referencias a la nota sobre la calidad de la ciberseguridad de las empresas. Algunos ejemplos en este sentido son empresas como Riskrecon, SecurityScorecard, Upguard o Bitsight.

En cualquier caso, ya sea que busquemos obtener una certificación en base a normas ISO, obtener buena nota por parte de una empresa de evaluación de proveedores, o simplemente estar alineados con los más altos estándares internacionales aplicados por nuestros potenciales clientes, las normas ISO/IEC 27001, 27002, 27701 o 22301 son excelentes referencias sobre la cual construir nuestros sistemas de gobierno y gestión de la seguridad de la información, protección de datos personales, ciberseguridad y continuidad del negocio.

En Datasec somos expertos en apoyar estos procesos, y hemos acompañado a muchas organizaciones a recorrer este camino de forma exitosa. 

 

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >