La gestión de la Seguridad de la Información es una necesidad en todo tipo de entidades, y no resulta especialmente sencilla cuando hay proveedores de servicios como parte de la ecuación. Las directrices EBA/GL/2019/02, de 25 de febrero de 2019, ya obligan a las entidades financieras e instituciones de pagos a realizar auditorias de seguridad de todos aquellos proveedores en los que se externalicen tareas críticas o importantes.
En estos casos, el establecimiento de un modelo de Vendor Risk Management en las entidades supone establecer un sistema para monitorizar y gestionar la seguridad que aportan los proveedores en los servicios que prestan, debiendo proceder a un seguimiento y auditorías periódicas de los mismos en función de su nivel de criticidad.
Sin embargo, esta dedicación a la auditoría de servicios de proveedores puede reducirse si estos servicios cuentan con auditorías y certificaciones de seguridad de confianza.
Esta necesidad de gestión de riesgo de servicios de proveedores (y las auditorías que se requieren) es especialmente importante para las entidades financieras ya que además es un requisito que deben abordar para dar cumplimiento a los requerimientos del regulador anteriormente indicados.
Con este objetivo, el Centro de Cooperación Interbancaria (CCI), asociación que aglutina al colectivo de entidades financieras del país, ha desarrollado la plataforma PINAKES de calificación, gestión y monitorización de seguridad de servicios de proveedores que armoniza y unifica el marco de controles de seguridad. Esta plataforma facilita a las entidades financieras tener garantías sobre los niveles de seguridad de los servicios que seleccionan y contratan a proveedores.
La forma de proceder es la siguiente:
El alcance de estas revisiones abarca un marco muy amplio de controles que contempla normativas y estándares como ISO 27000, PCI DSS, PSD 2, FFIEC, ENS, SOC 2, NIST 800-53, CSA CMM, CIS Controls V 7, así como controles específicos sectoriales y abarca los siguientes dominios:
El CCI ha desarrollado una página web en la que consultar los detalles de PINAKES así como un registro de entidades evaluadoras homologadas.
BDO es una de las cuatro entidades homologadas por el CCI en este momento para la realización de las auditorías de calificación de seguridad y como tal aparece en dicho registro, por su amplia experiencia demostrada en auditorías de seguridad y sistemas de certificación de seguridad, como lo acredita el ser también la primera empresa de auditoría multinacional acreditada por ENAC para emitir las certificaciones del Esquema Nacional de Seguridad (ENS).
Este método de calificación de proveedores del Centro de Cooperación Interbancaria permitirá impulsar la gestión de la seguridad de la información de las entidades financieras, así como aumentar el control y transparencia del nivel de seguridad de los servicios que se contratan a proveedores.
Además, permitirá que los proveedores puedan acreditar con una única auditoría su nivel de seguridad ante las entidades y darlo a conocer a todos los miembros mediante su publicación en la plataforma PINAKES
Juan Manzano, Director en el área de Risk Advisory
