Relación con proveedores: Exige seguridad !!!

Estimados amigos de Inseguros:

A lo largo de mi trayectoria en el mundo de la seguridad, y por qué no, en la informática en general, he tenido que verme en la situación de delimitar la responsabilidad de socios, partners y proveedores de cualquier ámbito del trabajo.



No vale con echar la culpa a la señora de la limpieza, esto ya es viejo, hay que delimitar responsabilidades pero más que nada funciones.

En el mundo de las auditorías me encuentro todos los días con departamentos más o menos contentos con los resultados, casi siempre descontentos... No porque hayas encontrado pocos fallos la verdad...

En esta ocasión no voy a hablar de la seguridad "delegada" del servicio de hosting, pero si de esa seguridad en productos y servicios internos.

Cuando presentas una auditoría y encuentras un activo... el ERP con un fallo en el sistema operativo que te permite acceder al sistema remotamente, el cliente se apresura en justificar la carencia de control con que ese servidor se lo lleva "una empresa".

Lo mismo pasa con software base desactualizado ( Sistema operativo, bases de datos, servidores de aplicaciones, web, componentes, drivers...).

El proveedor suele rendir cuentas con actualizaciones de SUS sistemas, los que desarrolla o implanta, y no cree necesario actualizar un componente SSL o un servidor SQLServer.


El mismo caso para configuraciones inseguras, como usuarios/contraseñas por defecto, ausencia de mecanismos de seguridad, falta de política de parcheos, etc.

SIEMPRE, SIEMPRE, SIEMPRE me encuentro con que el departamento culpa a la empresa proveedora de lo desastres. En estas ocasiones recuerdo frases de mis padres en plan: Si tu amigo se tira al puente tu te tiras... O mejor dicho, si el no se tira, al final quien se tira.. bueno me he hecho un lío, la verdad es que mis padres sabían que siempre era yo el malo XDDDD

La cuestión es que en muchas auditorías se especifica en la parte ejecutiva de soluciones el mejorar las políticas de relación con los partners y proveedores, haciéndolos partícipes de nuestra política de seguridad. Esta política puede estar escrita o no, pero debemos exigir ciertos controles, al menos, en nuevas contrataciones, renovaciones y en momentos en los que podemos "apretar". Quizás no sea posible con todas las soluciones, pero ahí nuestro esfuerzo.



Dicho esto, como algún cliente me lo suele pedir, voy a intentar reflejar aquí unos mínimos, unas pequeñas cláusulas que podemos incluir en nuestros formatos para pliegos o diseño de especificaciones para nuevos servicios o productos.

Siendo la empresa cliente la organización:

  • El proveedor se compromete a cumplir todos los estándares de seguridad del sector de actividad de la organización y cualquier exigencia explícita de la organización en materia de seguridad informática y buenas prácticas.
  • El proveedor se compromete a realizar mantenimientos del software vinculado a su producto o servicio en el plazo que éste lo requiera, estableciendo un periodo máximo entre acción y acción de no más de 2 meses. Por ejemplo: Sistemas Microsoft: Mensual.
  • En el caso de que se produzca un incidente de seguridad grave relacionado con el software principal o relacionado, el proveedor se compromete a solucionar el incidente con la mayor celeridad posible. En el caso de que el equipo de la organización lo requiera, el proveedor deberá facilitar todos los procesos y herramientas para que la organización pueda remediar el incidente de manera ágil y segura. Por ejemplo: Claves del sistema, certificados, herramientas de control, etc.
  • El proveedor se compromete a entregar a la organización un sistema carente de fallos conocidos y con una configuración de seguridad que impida:
    • Accesos anónimos.
    • Accesos con cuentas conocidas.
    • Versiones de sistemas sin actualizar/fuera de ciclo de vida de producto.
    • Exposición de información no controlada.
    • Ataques de fuerza bruta.
  • El proveedor se compromete a entregar a la organización un sistema o servicio que sea compatible con la infraestructura vigente de la organización, por ejemplo:
    • Gestión de eventos centralizada.
    • Instalación de sistemas antivirus, agentes, monitorización, backups, etc.
  • El proveedor se compromete a facilitar a la organización cualquier información del producto relativa a su funcionamiento en materia de seguridad.
  • El proveedor se compromete a que la organización pueda realizar test de seguridad, auditorías o cualquier otro tipo de pruebas para garantizar la seguridad del producto o servicio, y que este cumple con los estándares de la organización.
  • El proveedor se compromete a realizar un plan de trabajo en el que se definan y se establezcan soluciones para fallos o deficiencias en materias de seguridad detectadas por auditorias de la organización o de terceros.
  • La negativa a cumplir cualquier de los citados puntos podría ocasionar la rescisión del contrato por parte de la organización por incumplimiento del proveedor, quedando la organización exenta de cualquier responsabilidad, indemnización o pago relativo con el cese del contrato.

Por supuesto que no soy abogado, y cualquier cláusula de este tipo debería ir respaldada por el departamento legal, ya sabemos que la redacción de estos artículos es más importante aún que el contenido, pero básicamente son los aspectos que se le podría pedir a un proveedor "medio" del ámbito de la informática.

Otra cosa es la necesidad de cumplir con normativas específicas, o que la empresa que contrata el servicio implemente su propio checklist de seguridad, algo cada vez más habitual en organizaciones internacionales, pero esta pequeña descripció seguro que os ayudará.