8 de cada 10 empresas han sufrido incidentes por su ecosistema de proveedores

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar Microsegmentación, clave para seguridad empresarial Leer

¿Cuál es el riesgo de la colaboración con proveedores sin establecer un sistema de control de seguridad? Diversos estudios revelan que el 80% de las organizaciones ha sufrido vulnerabilidades provocadas por brechas de seguridad en los sistemas de su ecosistema de proveedores y un 37% de empresas españolas ha perdido la confianza en su proveedor tras una auditoría de seguridad.

Pero ¿cómo saber si existe un ciberriesgo en un proveedor externo?, ¿qué medidas de seguridad tomar?, ¿cuáles son más útiles? o ¿qué se puede mejorar? Paradigma Digital señala cuatro aspectos claves en el control de seguridad en la relación con proveedores:

1. Consideraciones contractuales. La primera necesidad es disponer de un contrato en el que se formalice la relación entre clientes y proveedores, donde se establezcan los servicios a prestar y las condiciones a las que se comprometen las partes. Con frecuencia el error más frecuente es utilizar plantillas de contratos que no contemplan requisitos de seguridad en el acceso y tratamiento de información o contienen requisitos que no se personalizan para el servicio que se va a prestar, y a veces ni siquiera se considera que se puedan modificar los términos. Además, está el marco normativo europeo, que exige aplicar medidas proporcionales a los datos manejados. “Esto es especialmente relevante puesto que el 25 de mayo de 2022 vence el plazo para que todos los contratos cumplan con los requisitos del RGPD”, puntualiza Carmen Troncoso, delegada de Protección de Datos en Paradigma Digital.

2. Medidas técnicas de seguridad. Las medidas de seguridad que protegen la información deben ser proporcionales a los riesgos a los que se exponen en caso de sufrir un incidente, lo que debe valorarse como parte del diseño de cualquiera de las funcionalidades del proyecto. En las fases iniciales se puede utilizar una categorización de los riesgos según la sensibilidad de la información implicada, y utilizar catálogos de medidas de seguridad asociadas a cada nivel, al estilo de lo que pide el ENS. Otra cosa importante a tener en cuenta es quién asume los costes de la implantación de las medidas, lo que muchas veces no se tiene en cuenta en las ofertas de servicios.

3. Gestión de terceros. Es muy habitual que los proveedores recurran a otras empresas para prestar sus servicios, y que los clientes finales pidan a sus proveedores directos que se les transmita las medidas acordadas en el contrato, pero ¿hasta qué punto debe conocer el cliente qué terceros participan en la prestación del servicio? ¿Quién debe gestionar el cumplimiento de las medidas de seguridad acordadas con el cliente? Los proveedores tienen la responsabilidad de supervisar que los terceros que contratan cumplan con las medidas de seguridad requeridas para el servicio. La confianza es un activo importante en la relación entre el cliente y el proveedor directo, y es responsabilidad de éste que se mantenga, gestionando las relaciones con sus propios proveedores sin requerir la intervención del cliente, pero manteniendo la transparencia del proceso.

4. Verificación de cumplimiento. Tenemos contratos firmados y medidas de seguridad pactadas, pero ¿pueden los clientes saber si se cumplen? “En el estado actual de la tecnología, la clave de la gestión de la seguridad está en la automatización: procesos automatizados para la creación de cuentas de colaboradores, caducidad automática de cuentas, alertas ante intentos de accesos no autorizados, etc.”, apunta José Couto, responsable de Seguridad en Paradigma Digital.