03 octubre 2007

Gestion de terceros

Para seguir con la serie de recomendaciones de gestión de la seguridad, creo que es necesario hablar de la gestión de terceras partes. Quizás no tenga en todas las organizaciones la misma importancia, pero quien más quien menos debe trabajar conjuntamente con personas y organizaciones externas, y en estos casos necesitamos que estas terceras partes se comprometan a cumplir los mismos requisitos mínimos que cumplo yo (y si no, nuestra seguridad disminuirá, según el teorema de la cadena).

La primera necesidad es, sencillamente, regular el papel de estas terceras partes. Definir concretamente qué hacen y qué no, en relación a nosotros. Puede parecer una obviedad, pero este es el primero de los problemas. ¿Qué ocurre si hay una discrepancia? ¿Nos podemos agarrar al contrato? ¿A la oferta? Pero... ¿existe algún sitio en el que se especifique qué me suministra esta empresa, o qué horario de servicio tiene para mi? Es sorprendente la cantidad de veces que "no se encuentra" el dichoso documento...

Supongamos que ya tenemos claro el "catálogo de servicios recibidos". Ahora que ya conocemos el papel de estos terceros, podemos identificar en cuáles de mis actividades están implicados. Porque resulta que les tendré que exigir lo mismo que me exijo a mí mismo... en cada caso. Si el servicio soporta la fabricación, posiblemente no tenga sentido incluir exigencias de tratamiento de datos personales. Y a un servicio de limpieza no tiene por qué ser necesario exigirle una disponibilidad >99%. Los SLAs son necesarios en algunos casos, pero el sentido común es imprescindible en todos. Y no por meter más cláusulas y condiciones tenemos mejores contratos.

Pero resulta que la parte complicada en la gestión de terceros no es el contrato, que a fin de cuentas se redacta y firma una vez, sino su ejecución. Para una correcta gestión de terceros es necesario un seguimiento del mismo. Las reuniones periódicas entre la organización y los terceros son imprescindibles. Hay que hacer ajustes, aparecerán cambios que quieran introducir ambas partes, el mercado evoluciona... Además, los propios implicados en el servicio (por ambas partes) deben participar en este seguimiento. Jefes y comerciales suelen ser habituales en este tipo de reuniones, pero las fricciones surgen en el día a día, y los que las conocen son los que las sufren. Y por regla general también quienes más claramente pueden identificar fallos y posibilidades de mejora. Muchas veces basta con preguntar adecuadamente para obtener la respuesta que se busca...

Por último, y en términos de seguridad, es necesario prevenir la relajación. Seguro que el primer día, si estamos concienciados en materia de seguridad, establecimos todas las medidas necesarias para asegurar que las terceras partes cumplen con nuestras políticas. Comunicaciones seguras, logs de actividad, registros, ... Y cómo trabajamos hoy con nuestro proveedor, que ya es "de confianza"? Seguimos manteniendo las mismas medidas? La revisión y auditoría de este tipo de relaciones con terceras partes es una medida necesaria para prevenir la aparición de los problemas derivados de la relajación de las medidas de seguridad. Por supuesto que las medidas internas también deben ser auditadas de igual modo, ya que se suponen equivalentes, pero no podemos olvidarnos de los proveedores. Y os aseguro que pocas empresas proveedoras pasan auditorías de sus clientes.

En definitiva, la gestión de terceras partes es clave para garantizar la propia seguridad. Los SLAs, además de estar de moda, son una herramienta muy útil para regular esta gestión, pero no debemos olvidar que la parte complicada no es la firma del SLA, sino su cumplimiento. Y que una organización que sepa gestionar estas terceras partes, aunque no tenga ningún tipo de SLA, probablemente rinda a más nivel que una en la que se cumpla el caso contrario. Ah, se me olvidaba! Herramientas que se puedan utilizar en estos casos? Sobre todo, una sin automatizar y más cara de lo que parece: sentido común.