La ciberseguridad y sus equipos séptima parte (7 de 8)

Juegan un papel crítico en el proceso de la ciberseguridad, ya que ofrecen servicios, de comunicación, infraestructura, desarrollo y otros relacionados con temas tecnológicos, mismos que apoyan nuestra oferta.

Debemos asegurar que cuenten con los elementos suficientes para salvaguardar nuestra operación, en ocasiones se asume que su operación o función principal está lo suficientemente blindada para evitar anomalías, no afectar nuestra reputación, ingresos o simplemente la estabilidad del negocio, de sus integrantes y clientes.

Los proveedores deben de contar con programas de auditoría de seguridad de manera regular, con el objeto de determinar el cumplimiento con las regulaciones vigentes en la localidad donde se opera y si así fuera el caso, con otras certificaciones que agregan valor a los procesos o servicios que nos ofrecen.

Las garantías que deben de ofrecer pueden ser muy amplias en el tema de ciberseguridad. Un descuido, falta de actualización tecnológica o normativa puede afectarnos directamente y ser una puerta de entrada a amenazas cibernéticas.

Al igual que la organización, los proveedores deben lograr las certificaciones necesarias, a fin de asegurar sus operaciones tecnológicas.

En el apartado de GRC no abordaremos el detalle de las certificaciones recomendables, ya que estás dependen del tipo de industria y localidad, es necesario evaluar el alcance en cada caso. Sin embargo, es primordial verificar que se cuente como mínimo con una estructura de trabajo y controles que logren establecer un cumplimiento y seguridad al operar con un tercero, existen certificaciones oficiales de seguridad, como pueden ser las que se relacionan a continuación según la industria de aplicación y el tipo de procesos, en las que es necesario verificar su validez, que estén actualizadas, los números de serie y firma, así como solicitar siempre referencias de trabajos realizados, éstas pueden ser (recordar que solo son referencias):

SOC 1 Type II – Auditoría de seguridad financiera que evalúa los controles internos de una organización y su capacidad para proteger los recursos financieros de los clientes.

SOC 2 – Auditoría de seguridad diseñada para evaluar los controles de seguridad, disponibilidad, integridad, confidencialidad y privacidad de las organizaciones que alojan o procesan datos de terceros.

CMMC (Cybersecurity Maturity Model Certification) – Certificación requerida por el Departamento de Defensa de Estados Unidos para garantizar la seguridad cibernética de los proveedores de la industria de defensa.

CEH (Certified Ethical Hacker) – Certificación que demuestra habilidades en la identificación de vulnerabilidades y la seguridad de la información.

ISO 27001 – Estándar internacional para la gestión de la seguridad de la información.

PCI DSS (Payment Card Industry Data Security Standard) – Requisitos específicos para la seguridad de los datos de tarjetas de crédito.

CISSP (Certified Information Systems Security Professional) – Certificación que demuestra competencias en la seguridad de la información y la arquitectura de seguridad.

CRISC (Certified in Risk and Information System Control) – Certificación que demuestra habilidades en la gestión de riesgos y el control de la seguridad de la información.

Los proveedores deben de cumplir el marco en el que opere la organización no solamente desde el punto de vista de procesos de adquisición estandarizados, donde se incluyen los criterios técnicos o contractuales que deben cumplir, también en los diferentes criterios que se incluyen el marco GRC, que se explicará en nuestra siguiente publicación.