Acessibilidade

AA

Análisis de proveedores garantizando la seguridad de datos con netLex

Teniendo en cuenta la velocidad a la que evolucionan las tecnologías y la constante aparición de productos y servicios innovadores, debemos reflexionar sobre como mantener estas actividades necesarias para la evolución de nuestra sociedad de la información, al tiempo que garantizamos la privacidad y la protección de datos de todos nosotros, consumidores de productos de software y titulares de estos datos.

Existen varios desafíos para que las empresas mantengan el cumplimiento de las normas, siendo uno de ellos el análisis de proveedores. En este proceso, buscamos identificar riesgos en el escenario de prestación de servicios de los proveedores que puedan impactar la operación de la organización.

En este texto, aprenderá un poco más sobre los temas que se deben observar desde el punto de vista de la seguridad de la información al analizar los proveedores y algunas sugerencias sobre cómo se puede utilizar netLex en el proceso.

¿Qué evaluar se va a realizar un análisis de proveedores?

Al analizar los proveedores, es necesario evaluar varias cuestiones, en un proceso que involucra áreas como la Seguridad de la Información, Privacidad y Protección de Datos, Tecnologías de la Información y Finanzas, entre otras.

El objetivo principal de la actividad es certificar que se implementan buenas prácticas de seguridad de la información, con medidas técnicas y administrativas para garantizar la privacidad y protección de los titulares de los datos para respaldar la prestación del servicio de acuerdo a la criticidad de los datos involucrados en el proceso. En general, un proceso de revisión de proveedores, con la ayuda de netLex, implica:

  • Recopilación de informaciones iniciales sobre el proveedor, completando el formulario en netLex.

    En este paso, buscamos identificar si el socio tiene, por ejemplo, una política de privacidad, para que podamos entender como se lleva a cabo el procesamiento de datos y si traería algún riesgo para el negocio con la prestación del servicio. A través de netLex, automatizamos este paso, en el que el solicitante pone a disposición la información. Estos se combinarán con otros, tipo "¿se utilizarán los datos de la organización?" y "¿El proveedor tiene certificación?" para clasificar la criticidad y calcular el riesgo residual.

  • Análisis de las respuestas de los formularios por parte del equipo de Seguridad de la Información y otros equipos internos involucrados;

  • Análisis de riesgos residuales, que pueden generarse por la contratación del proveedor.

    Por ejemplo: durante un análisis, no se encontró ninguna política de privacidad para entender como se tratan los datos. En este caso, el riesgo aumenta y, por tanto, es necesario un proceso complementario, como contactar con la empresa y solicitar una póliza y si en realidad no la tiene, alinear cuál será el plan de acción, para que sea posible evaluar si el riesgo se puede asumir y cuál será el impacto;

  • Opinión almacenada en la plataforma netLex con el análisis del proveedor y de los riesgos involucrados, así como un plan de acción - en caso que sea aplicable.

    En este escenario, uno de los mayores desafíos es realizar esta evaluación de manera consistente, completa y con la velocidad necesaria para atender las demandas internas, dado que nos encontramos en un entorno de constante innovación.

¿Cómo superar el desafío y realizar un análisis rápido de forma segura?

Los clientes de netLex resuelven este problema utilizando nuestra plataforma, automatizando un documento a través de un flujo que evalúa la criticidad, el riesgo y dirige la evaluación necesaria a los responsables de cada tema.
01-seguranca-analise-de-fornecedores

Con ello, es posible evaluar a todos los proveedores de una forma más ágil, al mismo tiempo que se analizan todos los riesgos que se pueden generar en el proceso. Aquí en netLex, trabajamos con algunos criterios que forman parte del cálculo de la puntuación de riesgo residual:

  • Nivel de criticidad: se calcula a partir del análisis de si se comparte o no algún dato de la empresa, generando calificaciones que pueden indicar un nivel bajo, medio o alto, según el escenario del proveedor y la información compartida.

  • Evaluación de riesgos: En un segundo paso, realizamos esta evaluación, que se calcula a medida que el solicitante ingresa información sobre el proveedor y adjunta alguna documentación. Se consideran algunos puntos y se les asigna un peso para el posterior cálculo del riesgo residual. Entre los temas evaluados, podemos ejemplificar con: “¿existe una política de privacidad?” "¿El proveedor tiene certificación?" "¿Hace pentests?" y otros.

Otro punto importante es mantener la coherencia en la revisión de proveedores, tanto para garantizar los controles de seguridad como para identificar si la prestación del servicio sigue siendo relevante.

Ambientes innovadores requieren medidas preventivas y preparación

Como vemos, nuestro escenario actual es de constante y de rápida evolución e innovación, y necesitamos medidas preventivas frente a incidentes de seguridad y preparación para afrontarlos, en caso de que ocurran, con el fin de minimizar los impactos.

Por lo tanto, debemos asegurarnos de que nuestros proveedores puedan brindar el servicio garantizando la seguridad de la información.

Este proceso se apoya en la evolución de ambas partes, ya que la empresa controla y minimiza riesgos como la fuga de su información, o incluso la indisponibilidad de la prestación de los servicios, mientras que el proveedor es capaz de evaluar sus controles e identificar puntos de mejora, lo que repercute en el aumento de la madurez, teniendo un diferencial competitivo en el mercado.

Para obtener más información sobre cómo netLex puede ayudar a su empresa en el proceso de revisión de proveedores, converse con uno de nuestros expertos haciendo clic aquí.

*Samantha Nunes es directora de seguridad de la información en netLex

Samantha Nunes
Samantha Nunes
samantha nunes Licenciado en Ciencias de la Conmutación, posgrado en Seguridad de la Información y Derecho Digital. Jefe de Seguridad de la Información en netLex y Coordinador del posgrado en Ciberseguridad y Gobierno de Datos de la PUC.