Javier Rubio (Ferrovial): Es clave un adecuado control de la cadena de suministro.

Continuamos con nuestras entrevistas con entusiastas del rating, en nuestras sección #ratingenthusiasts. En esta ocasión hemos hablado con Javier Rubio, Gerente de Gobierno y Continuidad de Negocio en la Dirección de Seguridad de la Información de Ferrovial. Javier es Ingeniero Informático de Gestión por la Universidad Pontificia de Salamanca, con Máster en el Buen Gobierno de las TIC, profesor, y colaborador y ponente eventual en asociaciones en el ámbito de la seguridad de la información y auditoría. Viene de trabajar en Deloitte y en EY, siempre centrado en la seguridad de la información, auditoría y control interno.

1. ¿Es habitual la subcontratación de servicios en tu organización?

Explorar el mercado para la subcontratación de productos y servicios es una práctica habitual en Ferrovial, no sólo en el ámbito de sistemas sino en todas las unidades organizacionales. En lo que concierne a la función de seguridad, también es una práctica común dado que permite incorporar el conocimiento y capacidades existente en un mercado cuyo nivel de madurez ha crecido significativamente en los últimos años.


2. Desde un punto de vista de seguridad, ¿crees importante controlar el riesgo de la cadena de suministro TIC?

En Ferrovial pensamos que es clave disponer de un adecuado control de la cadena de suministro, para gestionar potenciales vectores de riesgo asociados a los servicios prestados por terceros. En los últimos tiempos, se han conocido casos, tanto a nivel nacional como internacional, de incidentes de seguridad en proveedores relevantes y que han tenido impacto no sólo en el negocio del propio proveedor, sino en el de los clientes para los que prestan servicio. De hecho, es una vía para utilizada por los agentes de amenaza para comprometer a las empresas.


3. Hasta ahora, ¿que mecanismos se aplicaban en tu organización para gestionar dicho riesgo?

Ferrovial establece controles de seguridad a lo largo de todo el ciclo de vida de los proveedores de productos y servicios de IT. En el comienzo de la relación contractual estableciendo cláusulas de seguridad, privacidad y confidencialidad, así como requisitos de seguridad aplicables al tipo de producto y servicio prestar. Se incluyen además, acuerdos de nivel de servicio de seguridad. Durante la relación contractual, dependiendo de la criticidad del proveedor, se realizan revisiones sobre los controles de seguridad establecidos y se revisan los niveles de servicio de seguridad de forma periódica. También, dependiendo del proveedor y del producto o servicio prestado, se realizan revisiones de seguridad y auditorías cuyos planes de acción son supervisados. A la finalización del contrato también hay establecidas unas directrices para la devolución de activos y refuerzo del compromiso de confidencialidad.


4. ¿Cómo valorarías que los servicios que ofrezcan a tu organización estuvieran calificados por un tercero independiente?

Representa una garantía sobre cómo de confiable puede ser un proveedor desde el punto de vista de seguridad de la información. Certificados y acreditaciones son una herramienta que, por un lado, en un proceso de benchmark pueden facilitar la toma de decisiones sobre qué proveedor puede ser el más adecuado desde el punto de vista de seguridad y, por otro lado, tener una garantía razonable de que los productos y servicios cuentas con las medidas de seguridad necesarias. Una cualificación permite además establecer niveles de exigencia adecuados al nivel de riesgo que un proveedor puede tener para la organización, siendo más laxos para niveles bajos y demandantes para niveles altos.

All you need is LEET!

Recibe nuestras notificaciones desde este enlace