Manuel Carpio
El modelo tradicional de evaluación de riesgos operacionales, ciberseguridad, transferidos entre proveedores y clientes de nuestro ecosistema basado en TI, se nos ha quedado obsoleto.
Una de las lecciones aprendidas por los empresarios al finalizar la revolución industrial fue que resultaba más rentable centrarse cada uno en su negocio, y aprovisionarse de terceros en todo aquello que no es esencial para mantener su ventaja competitiva en el mercado, antes que dispersarse copando toda la cadena de suministro de un extremo a otro.
La pérdida de control que conlleva la externalización de determinadas actividades genera variadas preocupaciones, entre otras las referidas a la seguridad, que en el caso de los prestadores de servicios digitales pueden resumirse en tres categorías:
- La interrupción del suministro (indisponibilidad)
- La degradación de la calidad del suministro (pérdida de integridad)
- La revelación de secretos comerciales o propiedad intelectual a terceros (fugas de información).
La manera tradicional de evaluar el riesgo que entraña el contratista, antes o durante la prestación ha sido mediante la auditoría externa de sus procesos de Tecnologías de la Información (TI). Desde la década de los ’90 se desarrollaron metodologías y herramientas como CRAMM, BSI, ITSEC, COBIT, etc., para ayuda del equipo auditor, formalización de las revisiones, e incluso proporcionar una medida relativa del riesgo. Todavía hoy, la auditoría de seguridad TI del proveedor, sea ésta anunciada o sin previo aviso, es un tipo de relación “post-venta” habitual en un ambiente de mutua desconfianza, o sencillamente, cuando el cliente necesita dar cumplimiento a algún requisito regulatorio sectorial.
Una auditoría de TI típica suele consumir muchos recursos en ambos lados, proveedor y cliente, y no solo nos referimos al personal altamente cualificado que es detraído de sus labores productivas, sino también al tiempo, a los gastos de soporte, a las capacidades de proceso, etc., por no hablar del estrés al que se somete la organización auditada.
Siguiendo con el caso de un prestador de servicios digitales, y tomando como ejemplo un operador de IPTV (televisión por internet) encontraremos que, para prestar dicho servicio, depende de suministradores de equipamiento diverso, de fabricantes de software, del servicio de comunicaciones, de personal técnico subcontratado, etc., los cuales podrían considerarse individualmente eslabones críticos en la cadena de valor del servicio, hasta llegar en último término a la productora de los contenidos.
Para garantizar la emisión en directo de su programa de máxima audiencia bajo un riesgo mínimo, el operador de televisión debería auditar regularmente la fiabilidad de cada uno de esos eslabones, y cerciorarse de que se corrigen las no-conformidades que se encuentren.
Del mismo modo, si nos detenemos en uno de los eslabones, digamos por ejemplo el fabricante del equipamiento, debería proceder de igual modo con su propia cadena de suministro, que es distinta a la de su cliente, aunque podrían incluir eslabones idénticos. Y así sucesivamente, podríamos proceder con cada uno de los proveedores del operador de televisión.
Es decir, si se aplicaran estrictamente las cláusulas de reserva del derecho de auditoría de TI que hoy forman parte de cada contrato, el número de auditorías que habrían de realizarse para acotar el riesgo en la prestación del servicio de IPTV, de forma rigurosa y aceptable, crece de forma exponencial.
Si llevamos al extremo esta idea a todo tipo de servicios de comunicaciones electrónicas, llegaríamos al bloqueo del ecosistema empresarial, además de un sobrecoste desmesurado de la gestión,… y al florecimiento del negocio de la auditoría de TI. En resumen, y en palabras de un consultor de esta materia, diremos que este modelo “no escala”.
¿Qué alternativas hay?.
Veamos. Por un lado, desde principios de los ’90 se articuló una metodología, hoy denominada “Criterios Comunes” gracias al consenso global que ha alcanzado, con el fin de evaluar las características de seguridad de productos hardware y software. Por otra parte, sistemas complejos operados por organizaciones pueden obtener un certificado de conformidad con algún estándar, entre los cuales el de mayor aceptación internacional hoy es el ISO 27001, que nos informa sobre la existencia de un proceso repetitivo de mejora continua en el sistema de gestión de la seguridad de dicha organización. Además de esto, existen docenas de consultoras, laboratorios, organizaciones profesionales, etc., que evalúan y acreditan la seguridad global de un determinado proceso, empresa, o sistema, otorgándoles un sello particular.
Decía el profesor Tanenbaum que “lo bueno que tienen los estándares es que hay muchos donde elegir”, y ese es precisamente uno de los problemas que aquejan hoy día al mundo de la seguridad TI: la diversidad de códigos de buenas prácticas, regulaciones, requerimientos técnicos, legales, etc. Los clientes no versados en este mundo, pero que necesitan contratar un servicio de TI, están confundidos y preocupados.
La gestión de seguridad en la cadena de suministro debe basarse en una estrategia de defensa en profundidad o por capas, una de las cuales debe ser la calificación y etiquetado de los componentes críticos mediante una metodología que sea ligera y con unos resultados fáciles de interpretar por cualquiera. Así, reduciríamos drásticamente el número de auditorías (o revisiones) necesarias para cubrir todo el ecosistema de un determinado sector industrial, reduciríamos también los recursos invertidos y ahorraríamos mucho tiempo. ¿Recuerda el lector las calificaciones que otorgan las agencias de “rating” a la deuda soberana de los países?, ¿o las etiquetas que se pegan en lugar visible de los electrodomésticos de gama blanca para que el cliente vea cuál es su eficiencia energética?.
Este modelo es el que están adoptando ya muchos proveedores de servicios en la nube, que son los que están sufriendo el “tsunami” de peticiones de auditorías de todos sus clientes.
Otros niveles que forman parte del concepto de defensa en profundidad que acabamos de mencionar más arriba tienen que ver con las salvaguardas contractuales, técnicas, y por último aunque no menos importante, las de aseguramiento del riesgo residual. En cada uno de estos apartados la transformación digital de los negocios está provocando una interesante metamorfosis de las relaciones cliente-proveedor en relación con la seguridad del bien o servicio objeto de la transacción.
[box type=»note» bg=»#» color=»#» border=»#» radius=»0″]Manuel Carpio, Director de Seguridad de la Información y Prevención del Fraude en Telefónica, S.A. https://www.linkedin.com/in/manuelcarpio https://twitter.com/M_Carpio_ email: mcarpio@outlook.es[/box]