Llorenç Vives (Meliá Hotels International): La calificación satisface tanto las necesidades de proveedores como de cliente

Iniciamos hoy una sección que hemos denominado #ratingenthusiasts en la que vamos a recoger la opinión de personas relevantes con las que hemos hablado en relación a la calificación de seguridad.

Nuestro primer invitado es Llorenç Vives Ramis. Lorenç es Ingeniero Técnico en Informática de Gestión por la Universidad de las Islas Baleares, certificado CISA, CISM y CGEIT por ISACA y CCS-G por la Agencia de Certificaciones de Ciberseguridad. Actualmente desempeña las funciones de dirección del área de Planificación y Control de IT en Meliá Hotels International siendo responsable de la gestión y contratación de servicios IT a nivel global, así como del control y desempeño económico de los servicios IT recibidos y prestados a las unidades de negocio a nivel global. Además ha desarrollado las funciones de IT Security durante 10 años en la compañía, siendo durante 5 de ellos Responsable de Seguridad de la Información a nivel global.

1. ¿Es habitual la subcontratación de servicios en tu organización?

La subcontratación de servicios es un una herramienta fundamental para el desarrollo y prestación de servicio de Tecnologías de la Información en Meliá Hotels International. Nos permite mantener de forma ágil y versátil, y a costes competitivos, el liderazgo y evolución de la tecnología que aplicamos a nuestro Negocio, permitiendo a la Organización centrarse en su núcleo de negocio, dedicando los recursos internos especializados en nuestro negocio a las funciones de la empresa que generan alto valor y mantienen el desarrollo y posicionamiento dentro del negocio hotelero.

2. Desde un punto de vista de seguridad, ¿crees importante controlar el riesgo de la cadena de suministro TIC.

Evidentemente sí. La gestión del riesgo es uno de los elementos fundamentales en el outsourcing de IT, y en concreto la gestión del riesgo en seguridad es uno de los puntos más importantes para una buena gestión de la Seguridad en todas las organizaciones ahora mismo. La protección de los sistemas informáticos y de la Información es, de hecho, un proceso básico para la confianza de los clientes y accionistas.

Hoy en día, y más en una empresa global con diferentes proveedores en diferentes ubicaciones en todo el mundo, es muy habitual la contratación de servicios que a su vez son prestados por terceras empresa subcontratadas. Tener un buen control de la cadena de suministro de servicios IT es básico para garantizar que los diferentes proveedores controlarán el riesgo de Seguridad en los servicios que prestan con el mismo nivel de exigencia que si se realizaran en la propia organización. En este sentido, es imprescindible obligar a los proveedores a la implantación de controles que garanticen que las operaciones desarrolladas para la empresa, sea dónde sea y por quién sea, tienen el nivel de riesgo esperado.

3. Hasta ahora, ¿que mecanismos se aplicaban en tu organización para gestionar dicho riesgo?

El elemento fundamental para garantizar la aplicación de controles de seguridad es, por una parte, la correcta selección de proveedor, y por otra, la inclusión en el contrato de servicios de todos los controles y exigencias a aplicar para garantizar que el riesgo de Seguridad se gestiona de forma esperada. Evidentemente se debe realizar un seguimiento posterior al cumplimiento de los outsourcers de todas las exigencias contractuales, mediante los mecanismos que se hayan acordado también por contrato.

Para la facilitar una correcta selección del proveedor existen diferentes herramientas que ayudan a las organizaciones a identificar la suficiencia en la aplicación de controles de seguridad. Las más importantes son las calificaciones, la certificación de Normas, o incluso verificar que los outsourcers mantengan en la prestación del servicio empleados cualificados y certificados en gestión de Seguridad.

La evaluación de todos estos parámetros son importantes para valorar a los candidatos de forma adecuada en cuanto a la gestión de la seguridad. Pero no sólo debemos fijarnos durante los procesos de selección, ya que si una empresa es seleccionada para prestar un servicio a la organización gracias a la valoración obtenida dentro de procesos de selección, es muy importante que se obligue a nivel contractual a que ésta mantenga estos niveles de valoración a futuro.

4. ¿Cómo valorarías que los servicios que ofrezcan a tu organización estuvieran calificados por un tercero independiente?

Lo valoraría positivamente. Un elemento de valoración que puede ayudar a las organizaciones en procesos de selección para comparar entre diferentes proveedores de servicios son las calificaciones por parte de organismos o terceros independientes. Estas calificaciones nos permiten a los responsables de las empresas a disponer de una valoración cuantitativa que no nos proporcionan las certificaciones a Normas, en las que simplemente podemos valorar si cumplen o no cumplen pero no en qué grado concreto. Las calificaciones nos permiten comparar y posicionar claramente a cada servicio de un proveedor según un valor obtenido en diferentes procesos y dimensiones relacionados con la gestión de la seguridad, permitiéndonos identificar de forma clara y sencilla cuál de ellos está más cualificado en seguridad en la prestación de un servicio concreto, facilitando así la toma de decisiones.

Por otra parte, desde el punto de vista del proveedor, la calificación en Seguridad de servicios por parte de un tercero externo le proporciona un elemento diferenciador, una ventaja, respecto a competidores no cualificados. Además, proporciona a los proveedores un valor objetivo a alcanzar en la madurez de aplicación de controles de seguridad, facilitando la asignación de recursos a procesos concretos.

Otro valor añadido que nos proporcionan las calificaciones independientes es que el seguimiento del cumplimiento en las valoraciones también se realizan de forma independiente y externa a la organización, permitiendo que sin esfuerzo ni coste alguno podamos evaluar de forma muy rápida el mantenimiento de las calificaciones de las empresas subcontratadas.

5. ¿Algo más que quisieras destacar sobre la propuesta de valor de LEET Security?

La propuesta de LEET Security para la calificación de servicios es un ejemplo en el que mediante la evaluación y valoración de la madurez de diferentes controles según tres perspectivas básicas en Seguridad (Confidencialidad, Integridad y Disponibilidad) se obtienen unos niveles objetivos que permiten conocer el grado de suficiencia y fiabilidad que tienen estos proveedores. En este sentido, la propuesta de LEET Security satisface una necesidad tanto para empresas cliente como proveedores.