En el mundo actual de las compañías interconectadas y los proveedores de servicios de TI, es una práctica estándar que una empresa solicite a sus proveedores de Tecnología, que completen cuestionarios detallados sobre sus prácticas de seguridad.

Las empresas usan esa información al elegir un proveedor. Demasiado está en juego, en términos de reputación de la compañía y confianza del cliente, para ser cualquier cosa menos exhaustivo con la seguridad de la información.

Pero, ¿cómo pueden los equipos de seguridad de TI de una empresa ser más efectivos en ese proceso de compra de tecnología? ¿Cómo obtienen toda la información que necesitan, mientras se mantienen enfocados en lo que realmente importa y no pierden su tiempo?

La directora jefe de seguridad de Oracle, Mary Ann Davidson, en la reciente Conferencia RSA ofreció sus consejos sobre este proceso de evaluación de riesgos de seguridad de TI. Basándose en su amplia experiencia como proveedora y compradora de tecnología y servicios en la nube en su función en Oracle, Davidson compartió consejos desde ambos puntos de vista.

Asesoramiento sobre evaluaciones de riesgos empresariales

Cuando llega el momento de presentar un RFP para atraer a nuevos proveedores de tecnología o llevar a cabo una evaluación anual de los proveedores de servicios existentes, ¿qué pregunta en el cuestionario de evaluación de seguridad de ese proveedor? Hay muchos documentos y plantillas existentes, algunos centrados en industrias específicas, otros en sectores regulados o información regulada.

Esas deberían guiar cualquier proceso de evaluación, pero no son los únicos factores, dice Davidson. Considere estos prácticos consejos para obtener la información crucial que necesita y evite reunir mucha información que solo lo distraerá de los problemas que son importantes para mantener sus datos seguros.

Ten un objetivo claro en mente. El propósito del cuestionario de evaluación de seguridad del proveedor debe ser evaluar el desempeño de seguridad del proveedor, a la luz de la tolerancia de riesgo de la organización en un proyecto determinado.

Limite el alcance de una evaluación a los posibles riesgos de seguridad para los servicios que el proveedor le ofrece.

Esos servicios son obviamente críticos, porque podrían afectar sus datos, operaciones y seguridad. No tiene sentido enfocarse en los sistemas puramente internos de un proveedor si no contienen o no se conectan a sus datos.

Por analogía, "le importa la seguridad de las instalaciones de un proveedor de cuidado infantil", dice Davidson. "No es relevante preguntar sobre la seguridad de la casa de vacaciones del propietario de la instalación en Lake Tahoe".

Cuando sea posible, alinee las preguntas con estándares internacionalmente reconocidos, relevantes e independientemente desarrollados. Es razonable esperar que los proveedores de servicios ofrezcan servicios abiertos que se ajusten a los verdaderos estándares de la industria.

Aclare si hay requisitos regulatorios o de cumplimiento involucrados

Tenga cuidado con los estándares falsos, que son lo opuesto a abierto: podrían diseñarse para alentar a los compradores de tecnología a confiar en lo que creen que son especificaciones diseñadas según el consenso industrial, pero que realmente están presionando la agenda de un proveedor de tecnología o de terceros negocio.

Si una solicitud parece inusual, aclare si hay requisitos regulatorios o de cumplimiento involucrados. Al comprender las regulaciones relevantes, un proveedor de tecnología puede proporcionar otra documentación, como la certificación, que satisfaga la necesidad del cliente de la debida diligencia.

Y los proveedores y usuarios de tecnología pueden decidir juntos que deben retroceder en las regulaciones que son poco claras o poco razonables, para ayudar a los reguladores a entender las "consecuencias desafortunadas pero involuntarias", dice Davidson.

Si alguna solicitud parece fuera de lo normal, explore las razones más importantes detrás de ella. "Pregúnteles: 'Díganme por qué están preocupados'", aconseja Davidson. Tener reglas claras de compromiso y documentación de requisitos de evaluación fácilmente accesible. Esto ayudará a que sea más rápido, menos costoso y más eficiente proporcionar la información necesaria.

Los cuestionarios de evaluación de riesgos pueden ser enormes y consumen recursos considerables para completar e interpretar. Convierta el proceso de un examen hostil en un poderoso diálogo entre dos socios potenciales. Cuando los clientes y proveedores trabajan juntos, el proceso de evaluación de riesgos puede ser menos oneroso, más informativo y mucho más útil para todas las partes.

¡No te pierdas nuestra pagina de Facebook!!