En los últimos meses, la COVID-19 ha derivado en un incremento exponencial del teletrabajo por vía de urgencia. Nuestros datos muestran que más del 75% de la plantilla de proveedores de Achilles tiene las herramientas para trabajar desde casa, principalmente procedentes del sector servicios y petróleo y gas.
Si bien la protección de la salud de los empleados y la racionalización de costes han sido las principales prioridades para muchas empresas durante este período, el área de la ciberseguridad ha sufrido una gran disrupción a causa del teletrabajo que analizamos en el pasado webinar con nuestro partner Grupo ECIX, especialistas en ciberseguridad, compliance y privacidad.
Requerimientos en ciberseguridad por parte de los proveedores
El presente contexto pone de manifiesto un amplio rango de oportunidades para los cibercriminales dada la alta vulnerabilidad por parte de algunos trabajadores en remoto. Los ataques suelen llegar intercediendo en los sistemas operativos de los dispositivos domésticos cuando no hay seguridad de la red, infraestructuras desprotegidas, etc.
Como comprador, tu cadena de suministro se puede ver vulnerabilizada a causa de las brechas de seguridad de la información de tus proveedores. Por este motivo, deberías poder mapear la siguiente información de tus proveedores:
- Disponibilidad de políticas de ciberseguridad
- Disposición de política de identificación y gestión de accidentes
- Implementación de un sistema de recuperación de desastres y plan de continuidad
- Integración de mapa de riesgos de ciberseguridad
- Implementación de medidas de protección tecnológicas de acceso a la información
- Certificado en algún estándar de ciberseguridad
- Políticas de ciberseguridad
Repro – cybersecurity questions
Ciberseguridad y continuidad del negocio en base a la normativa vigente
Carlos Saiz, Socio de Grupo ECIX comentaba “existe una importante presión regulatoria para identificar y prevenir amenazas de ciberseguridad de forma previa a la contratación de proveedores y durante la relación contractual. El COVID19 ha puesto de manifiesto el nivel de dependencia que las empresas tienen con respecto a servicios e infraestructuras de terceros, entre ellas nos encontramos (plataformas Cloud, call centers, herramientas de videoconferencia). El riesgo de ciberseguridad en grandes empresas sería exponencial puesto que trabajan con un mayor número de proveedores”.
Conforme los mercados se adaptan a la nueva normalidad, debemos preguntarnos en qué posición nos encontramos, es decir, identificar si eres comprador y necesitas controlar a tus proveedores, si eres proveedor y necesitas ser confiable para tus clientes o si, por el contrario, eres subcontratado y en este caso debes ser confiable para ambos.
La ciberseguridad y la continuidad de la relación con tus proveedores debe ser planteada en estas tres etapas contractuales: precontractual, contractual y postcontractual. En cuanto a los controles previos que debes llevar a cabo antes y durante la relación contractual para un óptimo monitoreo de amenazas y una gestión de conducta empresarial responsable, caben destacar principalmente dos normativas:
- ISO 27001: Gestión de Seguridad de la Información
- ISO 22301: Continuidad del Negocio y Resiliencia: la cual será una de las normas que más certificaciones sume en los próximos años para acreditar la confiabilidad entre proveedores y clientes.
Cuándo controlar el riesgo de ciberseguridad
Es imprescindible conocer en qué situaciones se debe llevar a cabo un análisis del riesgo de proveedores en materia de ciberseguridad. Estas son las situaciones más comunes:
- En muchos casos es obligado por la normativa: empresas de ámbito público o de ámbito privado que trabajen con empresas cuyos servicios sean públicos. Ejemplos: agua, gas, infraestructuras, transportes.
- Relación contractual con compañías poco maduras en proceso de transformación digital.
- Alguno de tus proveedores se ha adaptado recientemente al modelo de teletrabajo y puede que no tengan implantadas las medidas de seguridad necesarias para controlar un ciberataque.
- Como medida preventive y de protección de los datos de tu cadena de suministro
Al fin y al cabo, es fundamental controlar todos estos aspectos más allá de la protección que tu propia compañía tenga implementada, puesto que esta protección no exime que tu cadena de suministro pueda verse expuesta.
Los principales proveedores con mayor impacto en el ámbito de la ciberseguridad son: software, desarollo de aplicaciones, Cloud, SaaS, infraestructuras, servicios operacionales (call center, atención a clientes), servicios profesionales (consultores, auditorías, analistas, agencias de comunicación), asistencia técnica con acceso a las instalaciones.
En Achilles llevamos años contando con la colaboración del Grupo ECIX en la elaboración de un rating en áreas como penal, de privacidad y de ciberseguridad a través de un cuestionario de precalificación de proveedores. Este rating está integrado en el perfil de cada proveedor calificado por Achilles el cual te permite identificar y controlar dónde pudiese haber un posible riesgo que afectará a tu cadena de suministro de forma inmediata. Existen 4 niveles de riesgo, desde bajo a muy alto, siendo un 22% de los proveedores de nuestra base de datos (más de 10,000 proveedores) los que tienen un riesgo de ciberseguridad alto o muy alto.
Si quisieras saber más información sobre cómo identificar y medir los riesgos de ciberseguridad en tu cadena de suministro, rellena este breve formulario para ver el webinar en diferido.
Webinar de ciberseguridad en diferido