La transformación digital está aportando infinidad de ventajas a las empresas, que pueden beneficiarse de una mejor interacción con clientes y proveedores gracias a softwares que permiten comunicarse e interoperar a tiempo real desde cualquier dispositivo, o de soluciones en la Nube que facilitan compartir información y herramientas para la participación conjunta en la realización de procesos de trabajo.
Sin embargo, esta interconexión al implicar distribuir datos sensibles entraña unos importantes ciberriesgos, ya que no se trataría solo de garantizar que nuestra organización hace una óptima gestión de la seguridad de la información, sino que también la realizan proveedores externos que no se pueden controlar.
Así, vemos que se da la paradoja de que se potencia y se simplifica la operativa empresarial, al tiempo que se complica la ciberseguridad, al aumentar el perímetro a proteger y hacerlo más difuso, en unas organizaciones que dependen de aplicaciones, soluciones y servicios externos para funcionar.
De ahí, que proliferen los ciberataques a proveedores que no tienen una intención finalista en ellos, ya que aspiran a llegar a clientes que cuenten con una protección lo suficientemente robusta como para disuadir una intrusión directa.
Si bien, como sabemos, los grandes proveedores as a service que teóricamente deberían ofrecer las máximas salvaguardas tampoco se libran de accidentes catastrófico o ataques devastadores, lo que refuerza la idea de que en materia de ciberseguridad todo esfuerzo que se realice nunca está de más.
Normativas y estándares aplicables en la ciberseguridad con proveedores
Hay que destacar que la LOPDGDD (que adapta a legislación española el Reglamento General de Protección de Datos (RGPD) que rige a nivel europeo) regula el tratamiento y protección de la información sensible compartida en la interrelación entre clientes y proveedores.
Al igual, que también existen estándares internacionales específicos aplicables sobre la materia, como la ISO/IEC 27036, orientada a normativizar a las ‘Suppliers Relationships’, o la ISO 28000:2007 que es una norma que abarca a la totalidad de la cadena de suministro, y sigue el Ciclo de Deming (PDCA), enfocándose en la evaluación del riesgo.
Recomendaciones del INCIBE sobre ciberseguridad en relación a los proveedores
Asimismo, el INCIBE tiene una guía que aborda las políticas de ciberseguridad básicas paras las pymes en relación con sus proveedores tecnológicos.
El documento incide en varios aspectos esenciales que serían:
- Evaluación de riesgos: antes de contratar a un proveedor resulta esencial analizar las políticas y medidas de ciberseguridad que aplica.
- Definición de requisitos de ciberseguridad en productos adquiridos o servicios contratados a proveedores, para verificar la compatibilidad con las políticas de la empresa.
- Establecimiento de cláusulas contractuales con proveedores sobre las cuestiones más relevantes en materia de ciberseguridad: políticas, medidas, demostración de cumplimiento, notificación de infracciones, respuesta a incidentes, etc.
- Reclamación de certificaciones que garanticen la calidad en materia de seguridad de los servicios contratados (particularmente en aquellos que sean de especial criticidad).
- Delimitación de responsabilidades concretas atribuibles a cada parte.
- Realización de controles de seguridad obligatorios, inclusive a nivel auditoría.
- Preservación de la seguridad de la información a la conclusión del contrato.
Consideraciones a tener en cuenta en la ciberseguridad con proveedores
Hay que valorar que aunque un ciberataque afecte a un proveedor, si los datos comprometidos han sido recabados o pertenecen a nuestra empresa la responsabilidad recae sobre ella.
Además, las garantías contractuales de los proveedores tienen limitaciones, por lo que no conviene fiarlo todo a unas cláusulas establecidas, y sí aplicar todas las medidas recomendadas por el INCIBE que acabamos de ver.
Igualmente, tampoco es aconsejable pensar que la previsión de indemnizaciones por la existencia de brechas de seguridad en los proveedores cubriría todos los costes económicos, más allá de la entrada en liza de otras cuestiones como los peajes reputacionales asociados a los incidentes de ciberseguridad.
En este sentido, la posible protección de ciberseguros no es una solución mágica, debido a que para que sus coberturas sean aplicables las políticas y las medidas implementadas en materia de ciberseguridad deben ser impecables, y aun así nunca es descartable la litigiosidad en caso de que las cantidades a compensar sean cuantiosas.
Mientras que si se trata de pólizas contratadas por proveedores habría que estudiar en detalle las coberturas estipuladas, y cómo afectarían a nuestra empresa.
Velamos por todas las vertientes de la ciberseguridad de nuestros clientes
En ITRES como especialistas en ciberseguridad ofrecemos a las empresas una protección integral en este ámbito, que también incluye la previsión de riesgos asociados a proveedores, y la respuesta a incidentes que afectan a nuestros clientes, aunque se hayan producido en la infraestructura tecnológica de terceros.
Además, dentro de las exhaustivas auditorías de riesgos que realizamos con metodología Magerit, evaluamos las potenciales amenazas derivables de proveedores, y en los planes directores de ciberseguridad que trazamos establecemos unas políticas y unos planes de respuesta que se adaptan a las especificidades de los productos y servicios de los que se dota cada organización.
Por último, en ITRES solo proporcionamos a nuestros clientes herramientas y soluciones ofrecidas por partners y proveedores líderes, que son sinónimo de confiabilidad, seguridad y garantía de aplicación estricta de las políticas de ciberseguridad, más allá incluso de lo que pueda establecer la legislación vigente o las diversas normativas de calidad aplicables.
