En el pasado volumen 6 de 2011 del ISACA Journal aparecía un artículo titulado "Developing a Unified Approach to Information Security in Business Associate relationships" (solo para asociados de ISACA) que nos parece interesante comentar, puesto que analiza en detalle la contratación de servicios TIC.

Sus autores Michael R. Overly, Chanley T. Howell y R. Michael Scarano de la firma Foley & Lardner LLP, proponen tres herramientas para reducir las amenazas que pueden suponer los nuevos socios, asegurar una adecuada diligencia (documentada) y proporcionar remedios en caso de compromiso:

  1. Un cuestionario de 'due diligence'
  2. Protecciones contractuales básicas
  3. Un documento de requerimientos de seguridad de la información

Lo que nos gustaría resaltar es que los autores incluyen, entre la información a obtener en el proceso de selección, datos como responsabilidades corporativas, cobertura de seguros, condiciones financieras, políticas de personal y, por supuesto, políticas de seguridad, seguridad física, planes de continuidad y de recuperación de desastres, etc.

El motivo de resaltar estos aspectos es que, coincidimos con los autores del artículo en que, para construir la confianza necesaria con el prestador de servicios, la información relativa a las medidas de la seguridad de la información son importantes pero también hace falta poder confiar en la organización en general. Por este motivo, para establecer el nivel de calificación, pedimos desde leet security al proveedor que proporcione lo que denominamos, información general y que incluye toda esta información y otra similar como podría ser: certificaciones del proveedor, certificaciones de los empleados, antecedentes penales o estrategia empresarial a medio y largo plazo, entre otras.

Puedes seguirnos en twitter.com/leet_security.

Puedes seguirnos en twitter.com/leet_security

21 de marzo de 2012