Opinión Info Opinión

Generación de confianza en las relaciones con terceros

Daniel García, director gerente de ISMS Forum07/10/2021
403
El momento social y coyuntural presente requiere de una alta hiperconectividad y dependencia tecnológica, que necesariamente hereda un fenómeno de Transformación Digital acelerada nunca antes conocido, por el que se produce un incremento exponencial en la demanda de servicios y productos relacionados con la seguridad de la información y la protección de activos de información.

No es inferior el aumento de la exposición a los denominados ciber-riesgos, convirtiéndose asimismo en una brecha inexorable para las relaciones comerciales y la prestación de servicios entre empresas, sus relaciones con terceras partes que atienden a regulaciones específicas por su naturaleza (estratégicas, infraestructuras críticas, esenciales, o digitales, entre otras) y, especialmente, en lo referido a los riesgos asociados con la subcontratación a proveedores o servicios de terceros.

El desarrollo regulatorio del espacio digital ha generado garantías basadas en el cumplimiento; de un lado, el Real Decreto-ley 12/2018 (desarrollado a través del Real Decreto 43/2021), de 26 de enero, que transpone de manera definitiva la Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (especialmente en cuanto a las medidas de cumplimiento relativas a establecer condiciones mínimas de seguridad en el marco de los servicios esenciales y digitales); y de otro lado, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, directamente aplicable desde el 25 de mayo de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que ha supuesto un cambio total de paradigma a la hora de determinar y regular el cumplimiento de las obligaciones en materia de protección de datos, estableciendo la obligación legal para las empresas de adoptar un enfoque de riesgos frente a los viejos modelos de cumplimiento meramente formal.

Imagen

Centrando la atención en las relaciones con terceros, el ordenamiento jurídico español regula la adopción de un nivel de responsabilidad de aplicación limitada para garantizar que las empresas comprendidas en el marco normativo que prestan y consumen procesos, servicios y/o productos implementen medidas adecuadas. En el prisma de privacidad, el RGPD recoge el principio básico de la “responsabilidad proactiva” o “Accountability”, lo que conlleva que las empresas sean quienes determinen y evalúen cuáles van a ser las mejores medidas y puedan demostrarlo, así como que deban verificar periódicamente las medidas implantadas.

Como resultado de estas medidas se genera una mayor dependencia de las empresas con respecto de sus relaciones con terceros y la cadena de suministro, la responsabilidad y el deber de diligencia de las empresas no solo va a suponer un mayor conocimiento de la cadena de suministro y una mejora en la toma de decisiones, sino que además obliga a las empresas a tener políticas de externalización de servicios y su evaluación, a analizar y evaluar los riesgos, controlar y supervisar a los terceros que accedan a datos personales a lo largo de todo el ciclo de vida de la prestación de servicios que realicen (elección del prestatario, negociación y firma de contrato, monitorización y vigilancia del cumplimiento del contrato, terminación de la prestación de servicios, etc.) e incluso a determinar conjuntamente los controles de los riesgos.

No obstante, cabe reflexionar sobre la importancia de implementar y procedimentar medidas adicionales que proporcionen confianza a todas las partes interesadas (personas, procesos y tecnologías) para garantizar el cumplimento de los requisitos regulatorios en ciberseguridad y privacidad, pero también con el objetivo de superar consideraciones relacionadas con la imagen y reputación corporativa en sus relaciones con terceros. En definitiva, hablamos de la generación de confianza y competitividad en las relaciones con terceras partes.

No cabe duda de que el sector empresarial categorizado en el marco normativo aplicable establece por defecto pautas y principios para la gestión de riesgos asociados principalmente a la relación con sus proveedores de servicios y/o productos, incluso aquellos sectores en los que la evolución de la regulación apunta a que, debido a su criticidad o actividad, serán incorporados en este marco de vigilancia activa. Sin embargo, las relaciones entre organizaciones de cualquier naturaleza y volumetría resultan ser la base para el desarrollo del negocio, de manera que los principios asociados a la prestación de servicios presumiblemente serán aplicados con mayor amplitud en busca de la generación de garantías y preservación de la seguridad de la información y la protección de datos.

A medio plazo, la propuesta de revisión de la Directiva sobre Seguridad de las Redes y Sistemas de Información propone la utilización de los esquemas europeos de certificación de ciberseguridad, destacando que los Estados miembros podrán exigir a las entidades consideradas esenciales que certifiquen determinados productos, servicios, y procesos TIC con arreglo a regímenes de certificación de ciberseguridad europeos específicos, donde se define la necesidad de crear un Marco europeo de la certificación de la ciberseguridad a fin de confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados, con el objetivo de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados, o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

Algunas consideraciones al respecto podrían ser la articulación de un proceso de certificación en base a un código de buenas prácticas en las relaciones con terceros como forma de fortalecer el tejido empresarial y especialmente a las pequeñas y medianas empresas.

Entre los principales beneficios de un sistema de certificación caben mencionar la visibilidad de la responsabilidad y el deber de las empresas de analizar y evaluar los riesgos, controlar y supervisar a los terceros y determinar, conjuntamente, controles de los riesgos. Contar con un alto grado de aceptación en el tejido empresarial que permitiría la confianza de todas las partes interesadas en que el producto, proceso, y/o servicio cumpla con los requisitos especificados de ciberseguridad y privacidad.

“En el prisma de privacidad, el RGPD recoge el principio básico de la “responsabilidad proactiva” o “Accountability”, lo que conlleva que las empresas sean quienes determinen y evalúen cuáles van a ser las mejores medidas y puedan demostrarlo, así como que deban verificar periódicamente las medidas implantadas”

Comentarios al artículo/noticia

Nuevo comentario

Identificarse | Registrarse 

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos