Les comparto este nuevo artículo que escribí sobre la problemática de terceras partes, y las implicancias de su participación en los diferentes procesos de negocios o servicios tecnológicos de las compañías. Esta mirada pretende aportar pautas para una mejor relación en la gestión del servicio contratado, al tener en claro las responsabilidades y la importancia de su participación en nuestros procesos.

1. Página 1 - © Fabián Descalzo - 2017
MI PROVEEDOR, MI SOCIO
Contratación de terceras partes, cuando dejamos de ver la letra chica del contrato.
La contratación de proveedores es un punto crucial en el marco de cumplimiento de cualquier compañía,
recordando que no solo hablamos de la simple contratación de servicios o productos, sino que lo que estamos
realizando, es la adquisición de recursos o procesos externos que completan nuestros procesos internos, para
que éstos últimos puedan cumplir con sus objetivos de negocio. Y lo que lo hace más complejo aún, es el
hecho de no perder de vista nuestras necesidades de cumplimiento, ya que a su vez necesitamos dar
respuesta a nuestras exigencias regulatorias, contractual con clientes, y a nuestro propio marco normativo.
Bajo esta visión debemos enmarcar el concepto de “proveedor crítico”, cuya principal propiedad para ser
calificado de esta forma, es estar directamente relacionado con un proceso crítico de nuestro negocio, sin
importar si lo contratado es un producto o un servicio. Revisión de procesos, relevamiento de impacto en el
negocio, desarrollo de planes de continuidad, son solo algunas de las herramientas que pueden ayudarnos a
identificar a nuestros proveedores estableciendo cuan crítica es nuestra dependencia hacia ellos, ahora bien
¿Esta es la forma en la cual debiera de identificarlos? Seguramente no.
En estas tres prácticas mencionadas, la identificación se refiere a descubrir una propiedad de “critico” sobre
un proveedor ya existente en la compañía, que ofrece sus servicios o productos bajo consideraciones que
hasta el momento de la evaluación, no sabemos cuan de acuerdo están con nuestras políticas internas o
externas, sin mencionar los requisitos a cumplir con nuestras obligaciones internas o contractuales con
clientes.
Indefectiblemente se debe imponer una práctica, en la selección de nuestros proveedores, que nos permita
establecer los parámetros necesarios y acordes para una contratación respecto del proceso de negocio en el
que van a participar, su porcentaje de participación y el objetivo a cumplir por ese proceso. Debido a ello es
que se impone establecer una gestión completa sobre nuestros proveedores, desde su selección hasta el
control de su gestión ¿Y cuáles podrían ser las entradas para sentar las bases de esta gestión? Una de ellas
puede ser un proceso de revisión de proyectos en el cual podamos identificar y medir la participación de un
proveedor, y así establecer las condiciones operativas y de cumplimiento que el mismo debería contar para ser
incluido dentro del proceso que estamos diseñando.
Si bien en este artículo podemos referirnos a aquellos proveedores asociados a la tecnología, este mecanismo
no es privativo únicamente a áreas de TI o de seguridad de la información; todas las áreas de una compañía
diseñan o modifican habitualmente sus procesos de negocio, incluyendo proveedores que realicen actividades

2. Página 2 - © Fabián Descalzo - 2017
delegadas o provean productos que ayuden de una forma más eficaz y eficiente a cumplir con el objetivo de
ese proceso de negocio. Lo que también habitualmente pasa es que, al momento de la evaluación, solo se
revisan aspectos económicos relacionados con la contratación, dejando de lado todo tipo de riesgos
operacionales y de seguridad que en su mayoría son los que realmente van a dar un impacto negativo en el
resultado económico, de imagen y reputación de la compañía.
Como sabemos, las áreas tecnológicas a través de los servicios de TI y de seguridad de la información, son las
que deben asegurar al negocio la disponibilidad operativa de los sistemas y la confidencialidad, integridad y
disponibilidad de la información, siendo esto crucial teniendo en cuenta la alta dependencia tecnológica y los
cada vez más novedosos e incontrolables avances en materia de recursos en esta área aplicados a la obtención
de resultados para el negocio. Esto requiere que se establezcan medidas de gestión y control que aseguren la
calidad de servicio mediante la evaluación, selección y seguimiento del proveedor, contratado o a contratar,
para las áreas de TI y de seguridad de la información, y en todas las unidades de negocio de la compañía en
general.
Un detalle importante, y que generó que luego de una encuesta la British Standards Institution (BSI) publicara
la especificación PAS 7000:2014 de gestión del riesgo de la cadena de suministro para la precalificación del
proveedor, es que la mayoría de las organizaciones tienen información completa de solo el 15 por ciento de
sus proveedores, lo que implica que sobre el 85 por ciento restante de sus proveedores directos no poseen
información completa, y muy a menudo tienen poco o ningún conocimiento sobre sus procesos, personas y
equipamiento que proporciona el producto o servicio adquirido. Por ello, se debe tener en cuenta que la
compañía es responsable de cualquier tipo de cumplimiento y del tratamiento que se hace de la información
cuando contrata servicios de terceras partes, y por ello debe velar porque el proveedor de servicios cumpla las
regulaciones que le apliquen a la compañía, por ejemplo, SOX, PCI, regulación bancaria, incluyendo la
legislación sobre protección de datos personales local y regional, dependiendo del tipo de servicio y alcance de
la contratación.
Por tanto, las garantías exigibles a nuestros proveedores deben ser las establecidas en las leyes y sus
reglamentaciones que alcanzan a nuestra compañía, y por eso las áreas tecnológicas deben tener en cuenta lo
siguiente al optar por integrar a un proveedor a sus servicios, actuales o en diseño: Conocer las necesidades de
aplicación para el Negocio, Identificar los riesgos y requerimientos de control, Seleccionar recurso de TI y el
estándar de evaluación asociado. En relación a las responsabilidades en esta gestión, podemos identificar
estos cuatro principales actores, en el caso de la adquisición de servicios o productos tecnológicos:
• Áreas tecnológicas: Quienes están a cargo de instrumentar los mecanismos necesarios para dar
cumplimiento y poner en práctica las pautas de seguridad de la información en la contratación de sus
proveedores y contratistas, e informar a la Gerencia de Compras sobre las condiciones de seguridad
requeridas para cualquier tipo de producto o servicio a contratar o adquirir, basado en el Marco
Normativo
• Seguridad de la Información: Quienes deberán verificar que los contratos de productos y servicios
informáticos cumplan con los preceptos establecidos por el Marco Normativo, y que los proveedores y
contratistas realicen sus tareas conforme a las medidas de seguridad establecidas
• Compras: Su responsabilidad es la de informar y exigir a los proveedores seleccionados para prestar
servicios o proveer productos para las áreas tecnológicas, las condiciones de seguridad requeridas
para cualquier tipo de producto o servicio a contratar o adquirir
• Áreas Usuarias: Son responsables de convocar a las áreas tecnológicas y de seguridad de la
información en todo proceso de compra en los cuales esté involucrada la información de la compañía,
en cualquiera de sus formas (electrónica o física) y en los casos de la contratación de servicios
tecnológicos o compra de software.

3. Página 3 - © Fabián Descalzo - 2017
La selección, contratación y posterior control de proveedores desde las áreas tecnológicas y como una gestión
integral, debe verse como un complemento a los procedimientos formales del área de compras, ya que
establece las previsiones que se deben tomar en consideración a la calidad del servicio y la seguridad de la
información en la contratación de proveedores y contratistas para éstas áreas, teniendo en cuenta la
identificación de los requisitos de seguridad básicos y necesarios a cumplir por proveedores y contratistas,
como por ejemplo la necesidad de que el personal del proveedor asignado al servicio, debe comprometerse a
adquirir un conocimiento acabado sobre el proceso en el cual va a participar y cumplir con las políticas,
normas y procedimientos de seguridad de la compañía. Recordar además que, las medidas de seguridad a
implementarse para la realización de las tareas del proveedor, deben ser documentadas en el contrato de
servicios, satisfaciendo el cumplimiento de los estándares de integridad, confidencialidad y disponibilidad
establecidos por la compañía
El análisis propuesto por la norma arriba mencionada, PAS 7000:2014, nos propone revisar temas dentro del
análisis de riesgos, asociados a aspectos de nuestros proveedores o futuros proveedores, que habitualmente
no revisamos, poniéndolos en dos ejes que aportan definiciones para una mejor selección:
• Módulos temáticos "Core": Perfil de la compañía, Capacidades, Información Financiera y Seguros,
Gobernanza empresarial, Políticas de empleo, Salud y Seguridad, Protección de datos, Gestión
Ambiental, Gestión de la Calidad
• Módulos temáticos "adicionales": Ética empresarial, Trazabilidad de la cadena de suministro, Gestión
de la Seguridad de la Cadena de Suministro, Práctica Disciplinaria y Abuso, Gestión de la Continuidad
del Negocio
Esta apertura de temas y cruce en estos dos ejes, nos ayuda a interpretar la necesidad de contar con una
evaluación completa para establecer los riesgos en la contratación y ver su asociación directa con el alcance de
las actividades y la identificación de los niveles mínimos de prestación de servicio, tipo y condiciones en la cual
debe ser prestado. Otros aspectos importantes están relacionados con la tolerancia para nuestro proceso, a la
participación de subcontratistas dentro del servicio que estamos contratando, ya que con ello estamos
ampliando nuestro espectro de riesgo operativo y de cumplimiento, debiendo imponer a nuestro proveedor la
posibilidad de auditar también a sus proveedores, sobre la base de la criticidad para nuestro negocio tanto en
la parte operativa como en los compromisos de confidencialidad de la información a la que tenga acceso el
proveedor y su subcontratista.
Otros posibles riesgos, no evaluados frecuentemente, están relacionados a los cambios organizacionales en las
compañías, por lo que se deben tomar medidas a reflejarse en el cuerpo principal del contrato y que están
asociadas con mecanismos de notificación de cambios en el control accionario y cambios de niveles
gerenciales. Este tema no es menor, ya que como saben, todo cambio organizacional de estas características
puede acarrear un cambio en la misión y visión de nuestro proveedor, afectando a sus procesos de negocio y
que indefectiblemente impactan en los procesos de servicios que nos proveen y que, como proveedores
críticos, tendrán un impacto directo en nuestros procesos o servicios internos. En conclusión, estos cambios
organizacionales pueden acarrear cambios en los procesos de servicios contratados que modifiquen su
objetivo, o en el peor de los casos, hacerlos desaparecer.
Pensando en la delegación de actividades de administración, transmisión y/o procesamiento de datos,
seguridad, sistemas o tecnologías relacionadas, y cuáles podrían ser los principales ítems a tener en cuenta en
mi análisis de riesgo a proveedores dentro del diseño de un servicio tecnológico o un análisis de factibilidad en
un proyecto de negocio, los mismos podrían ser:
• Participación de subcontratistas en el proceso Core del servicio
• Proceso de servicio inadecuado o fuera del estándar de cumplimiento de la compañía
• Fallas en el servicio que ocasionen problemas regulatorios, daño de imagen o pérdida económica
• Compromisos de confidencialidad, integridad o disponibilidad de la información.

4. Página 4 - © Fabián Descalzo - 2017
• Falta de capacidad técnica y documental para la gestión del servicio
• Dejar de prestar los servicios parcial o totalmente, o que el proveedor deje de operar en el mercado
TI, en colaboración con el área de seguridad de la información, definen planes de control y monitoreo de las
actividades delegadas, los cuales se ejecutan con una periodicidad acorde al nivel de criticidad de la actividad.
Los planes deben estar alineados a lo establecido por la Política de Seguridad de la Información de la
compañía, documentados de acuerdo a lo requerido por la regulación y revisar periódicamente:
• La ejecución del proceso del servicio, documentación, recursos y gestión de terceros
• Los contratos de servicio y su nivel de cumplimiento
• El entorno físico y lógico de la prestación del servicio
• La gestión de incidentes y gestión de cambios del proveedor
• La gestión de respaldos de la información y continuidad de los servicios
• Los niveles de satisfacción y cumplimiento respecto de los clientes internos
Fig 1 - Ciclo de la gestión de proveedores
La delegación de actividades en servicios tecnológicos críticos para la compañía, deben incluir: los requisitos de
notificación entre el cliente y el proveedor en los planes de respuesta a incidentes, los procesos y los plazos de
notificación en los SLA, la potencial solicitud de información, solicitud de registros y evidencias al proveedor
durante una investigación, así como incluirlo en el proceso de resguardo y custodia de evidencias. Una de las
formas más prácticas para visualizar y asignar en forma adecuada estos requisitos, es el desarrollar una matriz
de responsabilidad compartida entre el proveedor y la compañía, apoyando su confección con la intervención
interdisciplinaria de diferentes sectores de la compañía (Legales, Tecnología, Seguridad Informática,
Desarrollo, etc.), lo que nos permitirá mitigar riesgos robusteciendo la seguridad de nuestra compañía en base
a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el proveedor.
Los nuevos servicios surgidos por los constantes avances tecnológicos, nos llevan a contemplar seriamente
cuales deben de ser los principales aspectos y requisitos en la contratación de servicios tecnológicos, los que
deben considerar la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad
de los mismos, así como aspectos esenciales del contrato de servicios desde el punto de vista
técnico/funcional relacionado con la operación de los servicios de TI y la seguridad de la información. Definir
un adecuado mecanismo de delegación de actividades propias de las áreas tecnológicas y de seguridad de la

5. Página 5 - © Fabián Descalzo - 2017
información hacia Terceras Partes, requiere de un enfoque bajo el cual se establezcan pautas para facilitar la
interlocución con los proveedores de servicios tecnológicos, el control sobre su gestión operativa y la revisión
del cumplimiento regulatorio.
Como mencionamos antes, la delegación de la operación no implica una delegación de responsabilidad, por lo
cual aquello que dejemos de Operar y Administrar debemos Controlarlo y Auditarlo. Basados en esto, los
aspectos y requisitos contractuales que debemos de tener en cuenta son:
• Contar con una cláusula de confidencialidad
• Penalidades relacionadas con la divulgación total o parcial de la información confiada
• Una cláusula de responsabilidad por la integridad de los datos ante errores de operación
• El conocimiento y consentimiento de las Políticas de Seguridad de la compañía por parte del
proveedor
• En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar
al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e
incluir su inventario en el contrato como “Anexo Técnico”
• Exigir contractualmente evaluaciones de vulnerabilidad y pentest, la existencia de una estrategia de
gestión de riesgos y un plan de respuesta para la continuidad de negocio, sobre todo que incluya el
proceso en el que se desarrolle el servicio o producto contratado
• Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos
asociados al servicio contratado, por parte de la compañía o de empresas contratadas para tal fin
• Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación,
en cuanto al acceso a los datos y a toda documentación técnica relacionada (metodología del servicio,
procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las
instalaciones del proveedor a definir por la compañía.
En concreto, lo arriba mencionado determina que el contrato de prestación de servicios debe suscribir como
mínimo las siguientes clausulas orientadas a la seguridad de la información:
Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los
datos ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por la compañía. En
caso que se trate de datos personales también es necesario el consentimiento del titular de los datos.
Cumplimiento de legislación de protección de datos de carácter personal y sensible. El proveedor ha de
asumir expresamente el papel de encargado del tratamiento de datos que la compañía decida trasladar al Data
Center del Proveedor (sea el caso de servicios de housing/hosting o bien de cloud computing), con todas las
obligaciones propias de tal figura tal y como se recogen en la legislación local. Además si el proveedor
almacena la información de carácter personal en sistemas ubicados fuera de su país de origen, ha de asumir
las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la legislación local,
con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de
datos.
Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la compañía, y a
quien él determine con los perfiles de acceso correspondientes. En caso de que la compañía trate datos
especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad
que sean exigibles.

6. Página 6 - © Fabián Descalzo - 2017
Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres,
continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la
información.
Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse
a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las
mismas al despacho.
Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la
compañía en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien
trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de
la información.
Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento
diligente de las garantías ofrecidas a la compañía para la protección de datos por parte del proveedor
permitirá excluir la responsabilidad de la compañía.
“Tengamos en cuenta que la contratación de un proveedor representa la selección de un
“socio”, que elegimos para apoyarnos en sus fortalezas en pos de cumplir con el objetivo
de nuestros procesos, sean estos de negocio o relacionados con los servicios tecnológicos,
por lo que una buena gestión sobre todo el ciclo de vida de la contratación nos asegurará
los resultados esperados.”
Fabián Descalzo
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Deloitte & Co., con 28 años
de experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en
sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información.
Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica
(Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), Miembro del Comité Científico
ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA,
certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN),
auditor ISO 20000 (LSQA-Latu), IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001 y Lead Auditor ISO/IEC 20000 TÜV Rheinland.
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD,
PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante
para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.
Docente del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks” y de la “Diplomatura en Gobierno y Gestión de
Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA); Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en
TÜV Rheinland Argentina, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio
Negro.
CERTIFICACIONES:
• COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)
• Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland Febrero 2017)
• ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland Septiembre 2016)
• Dirección de seguridad de la información (Universidad CAECE Diciembre 2013)
• ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338 Enero 2011)
• ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation Enero 2012)
• Foundation ISO/IEC 20000-1:2011, Implementación de Sistemas de Gestión IT (LSQA - LATU Diciembre 2011)
• Internal Audit ISO/IEC 20000:2011, Auditor Interno en Sistemas de Gestión IT (LSQA - LATU Diciembre 2011)