Tu Consultor ha colaborado en el IV estudio “Empresas y Ciberseguridad” 2022, que se presentó en la jornada Retos de Seguridad en la Cadena de Valor y en la que participamos en la mesa redonda como expertos en proyectos de consultoría en ciberseguridad.
¿Qué es un riesgo de terceros?
En definitiva, un riesgo de un tercero implica que parte de tu cadena de valor está externalizada o que hay productos o servicios críticos que afectan a tu prestación de servicio que se encuentran gestionados por un proveedor.
Una gestión de proveedores que no contempla la gestión de los riesgos en materia de seguridad de la información, puede suponer la falta de confianza del cliente final porque no se podrá cumplir con los compromisos de disponibilidad, confidencialidad e integridad que se hayan asumido con ellos.
Según el informe del Observatorio de Ciberseguridad de Exprivia sobre Amenazas Informáticas, durante el segundo trimestre de 2022, España ha sufrido un boom de incidencias superior al primer trimestre: 172 entre ataques, incidentes y violaciones de la privacidad en solo tres meses, frente a los 97 en total del trimestre anterior.
Entre abril y junio se han detectado 47 ataques, 80 incidentes de seguridad y 45 violaciones de la privacidad, siendo los sectores más afectados Administraciones Públicas, Bancos y Entidades Financieras y Sanidad, por las sanciones aplicadas por la Autoridad garante para la protección de los datos personales.
¿Cuáles son las principales barreras para gestionar el riesgo de terceros?
Las principales barreras que existen en la gestión del riesgo de terceros están relacionadas con la falta de concienciación y formación de los responsables de las gestiones de contrato, y la falta de digitalización aplicada a la gestión interna de las organizaciones.
Respecto a la primera cuestión, la mayoría de los departamentos de gestión de proveedores y de responsables de contrato, desconocen los riesgos de seguridad que pueden suponer sus proveedores y que ponen en riesgo su propia cadena de valor y su continuidad de negocio.
Se tendría que fomentar en la organización una sensibilización en materia de seguridad específica para cada puesto, en vez de formaciones o acciones de concienciación generalistas. En este caso, sobre los criterios de homologación, evaluación y seguimiento de los proveedores en seguridad de la información y sobre todo de las consecuencias que pueden suponer en caso de que se materialicen esos riesgos.
Puede existir un concepto muy claro de riesgos en los altos niveles de las organizaciones, pero si eso no es extrapolable al resto de la organización, no será efectiva la gestión del riesgo.
Por otro lado, los esfuerzos de las organizaciones en materia de digitalización se han centrado principalmente en la parte operativa de sus procesos, incluyendo la parte comercial y el ecommerce, pero esta evolución no se ha visto reflejada en la misma medida en los procesos de gestión interna de las empresas, por lo que se sigue contando con herramientas muy rudimentarias de gestión de proveedores, o parcheadas entre diferentes plataformas, hojas de cálculo, o comunicaciones de correo electrónico. Esto supone una sobrecarga de trabajo y una reducción de la eficiencia que resulta bastante disuasoria a la hora de asumir su gestión.
¿Cómo se integra o debería integrarse en una organización esta función de gestión del riesgo de tercero con las funciones internas de gestión de proveedores, seguridad y compras?
Los pasos de integración serían:
- El Mapeo de interrelación de procesos asociados a la gestión de proveedores.
- Asignación de responsabilidades en materia de gestión de terceros (RACI).
- La definición del marco o metodología de gestión de riesgos (identificación, homologación, evaluación y seguimiento).
- Formación y sensibilización especifica de forma constante.
- Definir el Marco contractual en el que se incorporen cuestiones de seguridad.
- Definir los hitos de relación clave con el proveedor para el seguimiento de las medidas.
Iniciativas sectoriales
Ya se están llevando a cabo iniciativas sectoriales como es el caso de PINAKES del Centro de Cooperación Interbancaria.
Esta iniciativa ha supuesto un impulso a la gestión de la seguridad de la información entre sus proveedores y una mayor seguridad sectorial en lo que a gestión de terceros se refiere.
El sistema genera un efecto en cadena, ya que va obligando a todas las partes interesadas a evaluar sus propios riesgos de terceros, por lo que amplia el marco de seguridad de un segundo nivel, a un tercero o incluso a un cuarto.
De esta forma, se mejora también la transparencia en la relación, por medio de los reportes y notificaciones de forma sistematizada entre cliente y proveedor.
Fátima Ballesteros
Directora de Consultoría
TU CONSULTOR tiene una amplia experiencia en proyectos de seguridad de la información y ciberseguridad, como son ISO 27001:2013, Esquema Nacional de Seguridad, Calificación Leet y Pinakes en una amplia variedad de sectores como es el hipotecario, el desarrollo de software, la formación y el tercer sector entre otros.
