michelangelus - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Mitigue los riesgos cibernéticos de terceros en un nuevo entorno regulatorio

GDPR y la Directiva NIS aumentan el enfoque en la gestión de ciberseguridad en toda la cadena de suministro. Las organizaciones necesitan verificar que sus proveedores cumplen con las normas.

Los titulares están llenos de brechas de datos. Un informe en octubre del Centro Nacional de Seguridad Cibernética del Reino Unido reveló que la división del GCHQ había detenido casi 1.200 ataques en los últimos dos años y está combatiendo alrededor de 10 ataques cada semana. Estos números no tienen en cuenta los muchos más ataques cibernéticos dirigidos a las empresas privadas y su infraestructura digital.

A pesar de gastar millones en mejoras y cumplimiento de ciberseguridad en torno al Reglamento General de Protección de Datos (GDPR), las organizaciones siguen siendo reacias a abordar el eslabón más débil en su entorno de seguridad de TI: Su cadena de suministro y las relaciones con terceros asociadas.

Abordar el riesgo cibernético de terceros es desafiante y significativo. Para las organizaciones más grandes, las decisiones de adquisición generalmente se toman sin el aporte de los responsables de la seguridad cibernética, y dichos acuerdos pueden proporcionar acceso a sistemas críticos a través de interfaces de programación de aplicaciones abiertas (API) y otros mecanismos de interacción.

Las relaciones con los proveedores también son abrumadoras sin un proceso estándar para administrar el riesgo cibernético cuando la relación es a través de un acuerdo contractual de largo alcance. Muchas organizaciones están luchando para abordar sus problemas de seguridad de red interna y no han considerado suficientemente los riesgos más allá de su propia red. Pero el riesgo de seguridad cibernética de terceros es un problema demasiado importante y demasiado peligroso como para que los miembros de la junta continúen pasándolo por alto.

Directiva NIS

Las iniciativas regulatorias actuales, incluidas la Directiva de Redes y Sistemas de Información (NIS) y GDPR, requieren que las organizaciones asuman la responsabilidad de garantizar que los proveedores externos hayan implementado medidas adecuadas de seguridad cibernética.

Tanto NIS como GDPR requieren notificación a la Oficina del Comisionado de Información (ICO) a más tardar 72 horas después de que una organización tenga conocimiento de una violación de datos o un incidente cibernético que tenga un impacto sustancial en sus servicios.

Muchas violaciones de datos que afectan a grandes organizaciones ocurren dentro de un proveedor de servicios externo. Es poco probable que las organizaciones que no cuentan con las disposiciones y procesos contractuales con estos proveedores para asegurar la información necesaria sobre la violación de datos cumplan con el plazo de 72 horas.

Los plazos no cumplidos y la información deficiente o inexacta revelan las fallas en debida diligencia y contractuales. Estas fallas aumentan el riesgo de una investigación regulatoria y de sanciones económicas significativas.

Pero las multas regulatorias son solo el comienzo. También hay responsabilidades civiles, así como la pérdida de la confianza del consumidor y la confianza de los inversores que resultan de una violación cibernética. Bajo GDPR, los individuos pueden reclamar una indemnización por daños materiales y no materiales.

Un controlador de datos es responsable solidario del daño si de alguna manera también fue responsable de una violación debido al procesamiento ilegal por parte de un procesador de datos.

Para mitigar estos riesgos, las organizaciones que subcontratan las funciones de seguridad cibernética deben revisar exhaustivamente sus acuerdos contractuales con terceros y revisar sus procesos y procedimientos de adquisición interna para incluir evaluaciones de seguridad cibernética. Estas revisiones deben, como mínimo, evaluar, documentar y monitorear estos acuerdos.

Evaluar:

  • Desarrolle un inventario completo de proveedores de seguridad cibernética que incluya detalles sobre su nivel de acceso a su red y sus disposiciones de seguridad y obligaciones de comunicación en caso de una infracción. ¿Con quién está haciendo negocios?
  • Revise los riesgos asociados con las disposiciones actuales de responsabilidad contractual con proveedores externos: ¿Ellos lo protegerán si tienen una brecha?
  • Revise las pólizas de seguro cibernético para el riesgo de terceros: ¿Cuáles son las exenciones? ¿Qué tan buena es su cobertura?
  • Revise los procedimientos internos de adquisición: ¿Está realizando la diligencia debida de seguridad cibernética en todos los nuevos proveedores?

Documentar:

  • Asegúrese de que existan las disposiciones contractuales necesarias para permitir que el proveedor cumpla con sus requisitos reglamentarios, incluida la notificación de incidentes dentro de plazos ajustados.
  • Considere las cláusulas contractuales centradas en la seguridad, estipule la responsabilidad de cualquier compromiso o violación de datos y establezca contractualmente que las cláusulas de seguridad se apliquen al subcontratista (s) en la cadena de suministro.
  • Insista en los planes y procedimientos de respuesta a incidentes en el acuerdo contractual e incluya (si corresponde) al proveedor en estos planes y procedimientos.

Monitorear:

  • Formalice un proceso para monitorear y administrar regularmente todas las relaciones de seguridad cibernética de terceros. Considere auditar a los proveedores de misión crítica.
  • Revisite y revise sus procesos y procedimientos con ejercicios regulares de violación cibernética o situaciones de brechas reales.

Las amenazas cibernéticas están aumentando tanto en número como en complejidad. Están atacando deliberadamente la cadena de suministro. Los enfoques regulatorios recientes bajo NIS y GDPR requieren que las organizaciones asuman un papel activo en la supervisión de sus proveedores externos.

De lo contrario, se pueden imponer multas reglamentarias, responsabilidades civiles y pérdidas de reputación. Invertir capital humano y financiero ahora para evaluar y mitigar el riesgo puede ayudar a reducir significativamente estas obligaciones, proteger la reputación de una organización y fortalecer la confianza del consumidor.

Cavan Fabris es gerente sénior de datos y derecho cibernético en EY.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close