Externalizaciones: ĀæUn desafĆo para la seguridad digital?
Es difĆcil pensar hoy en dĆa en un negocio rentable que no externalice algunos de los servicios que necesita para crear ese valor aƱadido que proporciona, preferiblemente de forma Ćŗnica, al mercado. La frontera entre una externalizaciĆ³n y una provisiĆ³n de un servicio por parte de un tercero es tan difusa que, para evitar confusiones, en este artĆculo ambos conceptos se consideran sinĆ³nimos.
ĀæCĆ³mo afectan esas externalizaciones a la seguridad digital de esa compaƱĆa? La respuesta a esta pregunta contiene muchas variables. QuizĆ”s la principal serĆa recordar a la empresa que contrata a un tercero para que le proporcione un servicio en concreto que la responsabilidad final de la calidad final del servicio y su control continĆŗa estando en la compaƱĆa que externaliza.
Dr. Alberto Partida
linkedin.com/in/albertopartida
Si aplicamos este principio a la seguridad digital, es patente que la empresa que contrata a un tercero tiene que ser capaz de valorar, primero, el riesgo que conlleva esa externalizaciĆ³n y, segundo, la seguridad, tanto la inicialmente diseƱada como la realmente implementada, por el proveedor del servicio. Es mĆ”s, desde el punto de vista de la seguridad digital, los requisitos son idĆ©nticos o, incluso, mayores a los que se implementan internamente.
En otras palabras, el riesgo que introduce la externalizaciĆ³n de un servicio tiene que estar en sintonĆa con el apetito al riesgo de la compaƱĆa que lo adquiere.
Aspectos tan clave como la gobernanza aplicada con estos terceros proveedores de servicios, la sincronizaciĆ³n de sus planes de continuidad de negocio con los de la empresa que utiliza esos servicios, la posibilidad real de auditar dicho servicio y cualquier otra subcontrataciĆ³n que se produzca, asĆ como la necesidad de establecer un plan realizable y realista de salida de tal externalizaciĆ³n no pueden olvidarse hoy en dĆa en ninguna industria que funcione con servicios aportados por terceras partes.
Finalmente, para aquellos lectores interesados en los detalles de este tema tan actual, el consejo serĆ” estudiar las directrices sobre ĀØoutsourcingĀØ publicadas este 2019 por la Autoridad Europea Bancaria (EBA), tan aplicables en la industria financiera como el cualquier otra industria con necesidad de gestionar sus niveles de riesgo de forma eficiente.