8 de cada 10 organizaciones ha sufrido vulnerabilidades por brechas de seguridad en su ecosistema de proveedores
4 consejos sobre seguridad para no perder la confianza de tu proveedor.
¿Cuál es el riesgo de la colaboración con proveedores sin establecer un sistema de control de seguridad? Diversos estudios revelan que el 80% de las organizaciones ha sufrido vulnerabilidades provocadas por brechas de seguridad en los sistemas de su ecosistema de proveedores y un 37% de empresas españolas ha perdido la confianza en su proveedor tras una auditoría de seguridad.
De nada sirve a una compañía contar con medidas de seguridad y protección de información interna y en la relación con clientes si no aplica también medidas de control de seguridad en su relación con proveedores. Pero ¿cómo saber si existe un ciberriesgo en un proveedor externo?, ¿qué medidas de seguridad tomar?, ¿cuáles son más útiles? o ¿qué se puede mejorar? son algunas de las cuestiones que muchas empresas se hacen.
Tras más de 15 años desarrollando software para la transformación digital de grandes empresas en todo el mundo, el equipo de seguridad y protección de datos de la tecnológica Paradigma Digital señala como aspectos claves en el control de seguridad en la relación con proveedores los siguientes:
1. Consideraciones contractuales. ¿Cómo se está gestionando la firma de los contratos entre clientes y proveedores? La primera necesidad es disponer de un contrato en el que se formalice la relación entre clientes y proveedores, donde se establezcan los servicios a prestar y las condiciones a las que se comprometen las partes. Con frecuencia el error más frecuente es utilizar plantillas de contratos que no contemplan requisitos de seguridad en el acceso y tratamiento de información o contienen requisitos que no se personalizan para el servicio que se va a prestar, y a veces ni siquiera se considera que se puedan modificar los términos, sobre todo cuando hablamos de empresas de gran tamaño. Además, está el marco normativo europeo, "desde el punto de vista de protección de datos hay que contar con el contrato que exige aplicar medidas proporcionales a los datos manejados. Esto es especialmente relevante puesto que el 25 de mayo de 2022 vence el plazo para que todos los contratos cumplan con los requisitos del RGPD", puntualiza Carmen Troncoso, delegada de Protección de Datos en Paradigma Digital.
2. Medidas técnicas de seguridad. Las medidas de seguridad que protegen la información deben ser proporcionales a los riesgos a los que se exponen en caso de sufrir un incidente, lo que debe valorarse como parte del diseño de cualquiera de las funcionalidades del proyecto. Para no entrar al detalle, en las fases iniciales se puede utilizar una categorización de los riesgos según la sensibilidad de la información implicada, y utilizar catálogos de medidas de seguridad asociadas a cada nivel, al estilo de lo que pide el ENS. Otra cosa importante a tener en cuenta es quién asume los costes de la implantación de las medidas, lo que muchas veces no se tiene en cuenta en las ofertas de servicios. "En Paradigma apostamos por gestionar las medidas de seguridad como una pieza más del proyecto, tomando decisiones en cada etapa según las necesidades del proyecto, alineados con las metodologías ágiles que usamos para desarrollar software", explica José Couto, responsable de Seguridad en Paradigma Digital.
3. Gestión de terceros. Es muy habitual que los proveedores recurran a otras empresas para prestar sus servicios, y que los clientes finales pidan a sus proveedores directos que se les transmita las medidas acordadas en el contrato, pero ¿hasta qué punto debe conocer el cliente qué terceros participan en la prestación del servicio? ¿Quién debe gestionar el cumplimiento de las medidas de seguridad acordadas con el cliente? ¿Cómo? Los proveedores tienen la responsabilidad de supervisar que los terceros que contratan cumplan con las medidas de seguridad requeridas para el servicio. La confianza es un activo importante en la relación entre el cliente y el proveedor directo, y es responsabilidad de éste que se mantenga, gestionando las relaciones con sus propios proveedores sin requerir la intervención del cliente, pero manteniendo la transparencia del proceso.
4. Verificación de cumplimiento. Tenemos contratos firmados y medidas de seguridad pactadas, pero ¿pueden los clientes saber si se cumplen? ¿Cómo? ¿Y qué ocurre si no es así? "En el estado actual de la tecnología, la clave de la gestión de la seguridad está en la automatización: procesos automatizados para la creación de cuentas de colaboradores, caducidad automática de cuentas,alertas ante intentos de accesos no autorizados..." concluye Couto.