Eduardo di Monte (Grupo Agbar): La calificación nos aporta la tranquilidad necesaria
Continuamos hoy con la sección que hemos denominado #ratingenthusiasts en la que recogemos la opinión de personas relevantes con las que hemos hablado en relación a la calificación de seguridad.
En la entrada de hoy contamos con Eduardo di Monte. Eduardo es Director de Ciberseguridad y Continuidad de Negocio del Grupo Agbar (Suez Spain), para España y Chile. Eduardo es Ingeniero en Telecomunicaciones y MBA por el EuroMBA Consortium, es especialista en ciberseguridad industrial (IoT) y Continuidad de Negocio. Con más de 13 años de experiencia, los últimos 8 años los ha dedicado de forma intensa a los aspectos de ciberseguridad en sistemas de automatización y control industrial, en especial procesos soportados por Infraestructuras Críticas. Esta dedicación, la ha combiando con la coordinación de crisis y la implementación de modelos de resiliciencia y continuidad de negocio para procesos críticos en el ámbito industrial.
1. ¿Es habitual la subcontratación de servicios en tu organización?
Además de que en todo departamento de TI los recursos económicos son limitados, en el sector tecnológico existen diversas ramas de conocimiento técnico, y es difícil abarcarlas todas con la profundidad y el nivel de exigencia y seguridad preciso, por lo que evidentemente la externalización de servicios es necesaria. Tanto los recursos humanos y tecnológicos de la externalización, así como servicios prestados, son controlados y gestionados para alcanzar niveles de servicio adecuados a nuestras necesidades.
2. Desde un punto de vista de seguridad, ¿crees importante controlar el riesgo de la cadena de suministro TIC?
Sí, rotundamente. Nuestros servicios pueden tener diversos puntos de interrupción, pero los que más incertidumbre nos provocan son aquellos sobre los que no tenemos un control directo, y nuestra capacidad de respuesta depende de terceros. Cómo gestionamos estos riesgos, es la única forma de dormir tranquilo, sin tener que cruzar los dedos.
3. Hasta ahora, ¿que mecanismos se aplicaban en tu organización para gestionar dicho riesgo?
Siempre que buscamos un nuevo proveedor, más allá de las bondades tecnológicas que nos ofrezcan, pensamos en la relación a medio y largo plazo que se va a establecer. Definir las reglas de gestión del servicio y su marco legal es una cuestión básica para mantener cierto control.
Al establecer la relación contractual de servicios, se incluye clausulado para garantizar un buen funcionamiento de los mismos (administración y funcionamiento, tiempo de respuesta y de resolución ante incidencias, reportes periódicos y niveles de servicios, subcontratación, confidencialidad, controles y medidas de seguridad, compliance, etc.).
El control, revisión y gestión de cambios en la provisión de servicios externalizados era nuestra gran asignatura pendiente, ya que actuábamos de forma reactiva a los incidentes que tenían implicación directa con el proveedor. Esperábamos que la respuesta fuera siempre la correcta, por lo que estas cuestiones no se podían planificar.
A partir de aquí, hemos incluido dos cuestiones que nos permiten mayor proactividad y planificación. Nos aportan un valor real al servicio, miden la madurez de la relación con le proveedor y mejoran la resiliencia de nuestro servicio:
- Por un lado, realizamos pruebas y ensayos de ciberincidentes que validan la correcta prestación del servicio, además de aprender de los incidentes reales, para establecer mejoras del servicio.
- Por otro, la posibilidad de realizar inspecciones y auditorías al prestador del servicio, de forma que se garanticen las medidas de seguridad adecuadas.
4. ¿Cómo valorarías que los servicios que ofrezcan a tu organización estuvieran calificados por un tercero independiente?
La posibilidad de realizar inspecciones y auditorías de cumplimiento es vital, y si lo realiza un tercero independiente, aparte de liberar recursos por nuestra parte, nos permite mantener una relación cordial con el prestador de servicios, ya que ya no somos nosotros lo que invadimos su "intimidad".
La calificación, por parte de LEET Security, imparcial y de buena profundidad técnica, nos aporta la tranquilidad necesaria, garantiza que podemos seguir confiando en nuestro proveedor ya que está en un nivel adecuado de seguridad.