Las pequeñas y medianas empresas (PYMEs) dependen en gran medida de proveedores externos para mejorar sus operaciones y ofrecer servicios especializados, ya que rara vez cuentan con los recursos para internalizar todas las funciones requeridas.
Aunque estas asociaciones son esenciales para la operativa de la compañía, también introducen posibles riesgos de ciberseguridad.
Implementar un programa sólido de gestión de riesgos de terceros es vital para evaluar, monitorear y mitigar estos riesgos. Este artículo profundiza en cómo puedes proteger tus activos y reputación de los posibles riesgos de terceros.
Por qué es esencial la Gestión de Riesgos de Terceros
1. Aumento de los Riesgos de Ciberseguridad
Los proveedores externos a menudo tienen acceso a datos y sistemas sensibles dentro de nuestra compañía. Un ejemplo típico es la externalización de los servicios de IT.
Si estos proveedores no tienen medidas de seguridad adecuadas, pueden convertirse en puntos débiles que afecten a nuestra propia compañía.
Es habitual que los ciberdelincuentes ataquen a proveedores externos, quienes a veces tienen medidas de seguridad más laxas que las empresas para las que trabajan, convirtiéndose en el eslabón más débil. Un éxito al comprometer a uno de estos proveedores podría significar acceso a múltiples redes y compañías simultáneamente. Este fue el caso del ataque a SolarWinds 1, que permitió a los atacantes acceder a más de 18.000 compañías y organizaciones de todo el mundo, incluidos los departamentos de salud, estado, seguridad nacional y tesoro de EEUU, así como empresas como FireEye, Intel, Cisco y Microsoft.
2. Cumplimiento Normativo
Muchas industrias tienen requisitos regulatorios estrictos para la protección de datos y la ciberseguridad. Por ejemplo, regulaciones como GDPR, NIS2 o DORA, que dedica un capítulo completo al tema (V), exigen que las empresas, incluidos sus proveedores externos, mantengan altos estándares de seguridad de sus datos.
No gestionar los riesgos de terceros puede resultar en incumplimiento, lo que lleva a multas y consecuencias legales. Un sólido programa de Gestión de Riesgos de Terceros (Third Party Risk Management) ayuda a garantizar que todos los proveedores cumplan con los estándares regulatorios, protegiendo a la PYME de posibles problemas de cumplimiento.
3. Protección de la reputación
Una brecha de seguridad generada por culpa de un proveedor externo puede tener graves repercusiones en la reputación de una PYME.
Como ya hemos comentado varias veces, las grandes compañías suelen tener mayor capacidad de gestionar y adaptarse a situaciones de crisis. Sin embargo, la misma brecha en organizaciones más pequeñas puede acabar con el negocio.
La erosión de la confianza del cliente, así como los gastos derivados de la respuesta al incidente y la posterior recuperación, suelen tener que ser absorbidos en la estructura de costes de la compañía, haciéndola mucho menos competitiva.
Programa de Gestión de Riesgos de Terceros
Algunos de los componentes clave de un programa de gestión de riesgos de terceros son:
1. Evaluación y selección de proveedores
Antes de comprometerse con un nuevo proveedor, es crucial conocer sus prácticas de seguridad.
Las grandes compañías llegan a evaluar el programa de seguridad y a realizar auditorías de seguridad sobre sus proveedores. Sin embargo, las pequeñas y medianas empresas rara vez tienen la capacidad ni la posición para exigir este tipo de relación.
En este sentido, se recomienda recurrir a proveedores con reputación que publiciten sus prácticas de seguridad, como la certificación en estándares y normas asociadas, como la ISO 27001 o el Esquema Nacional de Seguridad (ENS).
2. Monitorización continua
La ciberseguridad es un proceso continuo. En este sentido, se recomienda hacer una revisión periódica de los proveedores externos contratados para asegurarse de que mantienen o mejoran sus estándares de seguridad a lo largo del tiempo.
3. Contratación segura
Una de las principales ayudas que pueden tener las empresas que contratan servicios externos es exigir la seguridad de forma contractual.
Estos documentos deben detallar las expectativas de seguridad, los requisitos de cumplimiento y las consecuencias por no cumplir con estos estándares. Los contratos claramente definidos responsabilizan a los proveedores y aseguran que mantengan medidas de seguridad adecuadas.
Un ejemplo muy común son las empresas que contratan desarrollos a terceros y que, sin embargo, cometen el error de no incluir requisitos de seguridad como parte del proyecto. Esto generalmente acaba en costes adicionales, ya que al detectarse fallos de seguridad no se podrá exigir contractualmente su resolución.
4. Planificación de respuesta a incidentes
A pesar de contar con las mejores medidas preventivas, la seguridad nunca está garantizada. Los incidentes pueden ocurrir, y contar con un plan de respuesta bien definido que incluya a los proveedores externos asegura una respuesta coordinada y efectiva ante cualquier problema de seguridad.
En el caso de proveedores externos, el plan debe detallar con precisión, además de los pasos a seguir, cuáles son los roles y responsabilidades de todas las partes involucradas y los protocolos de comunicación a seguir.
Conclusión
La gestión de riesgos de terceros es un componente crítico de la ciberseguridad para las pequeñas y medianas empresas. Sin embargo, este tipo de compañías rara vez tiene internamente el suficiente conocimiento para analizar, diseñar y gestionar un completo plan de gestión de riesgos.
Analizar a nuestros proveedores, entender los riesgos que potencialmente podrían generar en nuestra compañía, establecer requisitos de seguridad en los contratos y establecer medidas de mitigación o definir planes de respuesta son medidas que pueden ser desarrolladas con el apoyo de empresas especializadas como la nuestra.