¿Cuál es el riesgo de seguridad en la colaboración con proveedores?
Carmen Troncoso, delegada de Protección de Datos en Paradigma Digital y José Couto, responsable de Seguridad en Paradigma Digital
21/01/2022Diversos estudios revelan que el 80% de las organizaciones ha sufrido vulnerabilidades provocadas por brechas de seguridad en los sistemas de su ecosistema de proveedores y un 37% de empresas españolas ha perdido la confianza en su proveedor tras una auditoría de seguridad. El motivo es que muchas veces tomamos medidas de seguridad interna pero no aplicamos medidas de control de seguridad en nuestra relación con proveedores.
Con frecuencia el error más frecuente es utilizar plantillas de contratos que no contemplan requisitos de seguridad en el acceso y tratamiento de información o contienen requisitos que no se personalizan para el servicio que se va a prestar, y a veces ni siquiera se considera que se puedan modificar los términos, sobre todo cuando hablamos de empresas de gran tamaño. La primera necesidad es disponer de un contrato en el que se formalice la relación entre clientes y proveedores, donde se establezcan los servicios a prestar y las condiciones a las que se comprometen las partes. Además, está el marco normativo europeo, desde el punto de vista de protección de datos hay que contar con el contrato que exige aplicar medidas proporcionales a los datos manejados. Esto es especialmente relevante puesto que el 25 de mayo de 2022 vence el plazo para que todos los contratos cumplan con los requisitos del RGPD.
José Couto, responsable de Seguridad y Carmen Troncoso, delegada de Protección de Datos, ambos de Paradigma Digital.
Aquí surge el siguiente error, el desconocimiento sobre qué medidas de seguridad incluir en el contrato. En las fases iniciales se puede utilizar una categorización de los riesgos según la sensibilidad de la información implicada, y utilizar catálogos de medidas de seguridad asociadas a cada nivel, al estilo de lo que pide el ENS. Las medidas de seguridad que protegen la información deben ser proporcionales a los riesgos a los que se exponen en caso de sufrir un incidente, lo que debe valorarse como parte del diseño de cualquiera de las funcionalidades del proyecto.
Otra cosa importante a tener en cuenta es quién asume los costes de la implantación de las medidas, lo que muchas veces no se tiene en cuenta en las ofertas de servicios. La clave está en gestionar las medidas de seguridad como una pieza más del proyecto, tomando decisiones en cada etapa según las necesidades del proyecto, alineados con las metodologías ágiles que usamos para desarrollar software.
Por otro lado, el perímetro de seguridad a contemplar puede ser más amplío aún. Es muy habitual que los proveedores recurran a otras empresas para prestar sus servicios, y que los clientes finales pidan a sus proveedores directos que se les transmita las medidas acordadas en el contrato, pero ¿hasta qué punto debe conocer el cliente qué terceros participan en la prestación del servicio? ¿Quién debe gestionar el cumplimiento de las medidas de seguridad acordadas con el cliente? ¿Cómo? Los proveedores tienen la responsabilidad de supervisar que los terceros que contratan cumplan con las medidas de seguridad requeridas para el servicio. La confianza es un activo importante en la relación entre el cliente y el proveedor directo, y es responsabilidad de éste que se mantenga, gestionando las relaciones con sus propios proveedores sin requerir la intervención del cliente, pero manteniendo la transparencia del proceso.
Por último, suponiendo que se incluyan en el contrato las medidas de seguridad adecuadas y suponiendo la buena voluntad del proveedor exigiendo estas medidas a terceros ¿cómo verificar que tanto el proveedor como terceros cumplen las medidas de seguridad acordadas. En el estado actual de la tecnología, la clave de la gestión de la seguridad está en la automatización: procesos automatizados para la creación de cuentas de colaboradores, caducidad automática de cuentas, alertas ante intentos de accesos no autorizados...
