Los incidentes cibernéticos son una preocupación que las entidades tienen cada vez más en cuenta, ya sea por el incremento constante de ataques cada año, por los riesgos para la seguridad que ha podido suponer el teletrabajo como nuevo modelo laboral a raíz de la pandemia o por los diferentes casos de ataques conocidos (especialmente de ramsomware en el que se cifran los datos de una entidad y se exige un rescate para recuperarlos).
En concreto, el informe de Ciberamenazas y tendencias del CCN recoge entre otros aspectos que:
Una entidad no solo está en riesgo de sufrir las consecuencias de un ataque cibernético directo sobre ella, sino que también está en riesgo de sufrir las consecuencias de estos ataques sobre sus proveedores con el prejuicio que puede tener para sus datos, su servicio y su imagen. Son riesgos que se corren no solo al externalizar la operación de procesos tecnológicos (como el hosting) sino también procesos que utilizan tecnología (como puede ser un call center).
Este mismo informe del CCN indica que estos ataques a terceros (cadena de suministro) es una amenaza emergente que seguirá aumentando en los próximos años. El propósito es evadir ciertos controles de prevención y detección al comprometer directamente a los proveedores externos, socios o clientes ya que la mayoría de las empresas no controlan ni validan el software o hardware que utilizan, ni a sus propios proveedores o socios desde el punto de vista de la ciberseguridad. Los atacantes aprovechan estas debilidades para perpetrar sus intrusiones en las redes objetivo valiéndose de que los proveedores o entidades asociadas disponen de algún tipo de interconexión o acceso a la red objetivo.
Las entidades no deberían preocuparse por la seguridad del proveedor únicamente cuando se ha sufrido un perjuicio por un incidente de seguridad en este. Las entidades deberían preocuparse por establecer un modelo de Vendor Risk Management en el que identifiquen las necesidades de seguridad de los servicios que van a subcontratar, analicen la seguridad de los potenciales proveedores, seleccionen uno que cubra sus necesidades de seguridad, acuerden mantener esos niveles de seguridad y realicen verificaciones periódicas de su cumplimiento monitorizando así el riesgo en todo el ciclo del proveedor.
Este modelo no asegura que el proveedor no pueda sufrir un incidente de seguridad, porque todas las entidades pueden sufrirlo (aunque estén bien preparadas), pero si permite identificar aquellas entidades que no toman un mínimo de medidas de seguridad y son más vulnerables a sufrir un ataque.
Para realizar estas verificaciones de la seguridad de sus proveedores, las entidades pueden basarse, entre otros, en una combinación de cuestionarios, herramientas y auditorías.
Hay que tener en cuenta que un sistema de Vendor Risk Management es un proceso continuo de control de la seguridad en los proveedores y los recursos de las entidades son finitos por lo que se requiere utilizar estos esfuerzos de la manera más eficaz posible poniendo el foco en los mayores riesgos de seguridad.
Es en este punto donde toman especial relevancia los informes y certificaciones de seguridad de la información. Las certificaciones tienen como principal objetivo demostrar que una entidad independiente ha verificado el cumplimiento de un conjunto de aspectos de seguridad recogidos en una norma (ISO 27001, Esquema Nacional de Seguridad, ISAE3402, FedRamp, SOC2, etc.).
Disponer de certificaciones de seguridad permite tanto al cliente como al proveedor un ahorro muy significativo de tiempo en la verificación de aspectos de seguridad, tanto en el análisis de potenciales proveedores (en los que una auditoría detallada de seguridad de todos ellos a tiempo podría ser inviable) como en la verificación de varios de los requisitos de seguridad del modelo Vendor Risk Management en el proceso de contratación y monitorización.
De hecho, si todos los clientes de servicios estableciesen un modelo Vendor Risk Management para gestionar el riesgo en sus proveedores, todo indica que tendrían que producirse los siguientes efectos:
Por lo tanto, sería de esperar que cuando los clientes establezcan modelos de Vendor Risk Management, aumentará el número de certificaciones de seguridad de sus proveedores y esto reduzca la dedicación al mantenimiento de Vendor Risk Management. Pero lo más importante sería que la seguridad de la información se habría establecido como una parte imprescindible para que los proveedores pudiesen proporcionar servicios a clientes y esto es un claro beneficio para todos los usuarios.
A nivel nacional, un claro impulsor de la seguridad en proveedores es el Esquema Nacional de Seguridad (ENS) que requiere la certificación de sistemas de información de categoría media o alta de entidades públicas así como de sus proveedores, estableciendo un registro de sistemas certificados de entidades públicas y entidades privadas.
El escenario en el que todas las entidades dispongan de un modelo Vendor Risk Management no tendría que tardar en llegar ya sea para mejorar su nivel de seguridad o para dar cumplimiento a regulaciones y normas de seguridad de la información que requieren establecer un control y monitorización sobre la seguridad de los proveedores y procesos externalizados (ENS, ISAE3402, RGPD, ISO 27001, etc.).
Hasta entonces aquellas entidades que establezcan un modelo Vendor Risk Management estarán demostrando su proactividad por mantener la seguridad de la información, reduciendo la posibilidad de disponer de proveedores sin medidas de seguridad adecuadas, obteniendo un valor diferencial frente a la competencia y colaborando a que todo el mercado mejore sus medidas de seguridad de la información.
Senior manager en el área de Risk Advisory