Lista de comprobación del riesgo de terceros: consideraciones clave para que las empresas protejan sus datos.

Las organizaciones son cada vez más conscientes de que deben tomarse en serio su propia ciberseguridad y los requisitos de cumplimiento. Sin embargo, ¿qué medidas de seguridad se aplican a sus terceros?

Protección de los sistemas internos

Ahora que el Reglamento General de Protección de Datos (RGPD) ha entrado en vigor, las organizaciones han tomado conciencia de los importantes requisitos legales impuestos por el RGPD y de los riesgos empresariales que suponen las violaciones de la ciberseguridad. Muchas han empezado a dedicar importantes recursos a identificar y eliminar las vulnerabilidades internas y a mitigar su exposición resultante de posibles incidentes de ciberseguridad, o del incumplimiento del GDPR.

Las organizaciones están empezando a abordar la gestión de los riesgos de ciberseguridad y privacidad desde múltiples ángulos, entre los que se incluyen: la inversión en sólidos sistemas de seguridad informática, la realización de cursos de concienciación sobre seguridad para los empleados, la consideración de la compra de pólizas de seguro relacionadas con la ciberseguridad y el desarrollo de un plan de respuesta a la violación de datos para asegurarse de que pueden cumplir con la notificación de violación de datos de 72 horas del GDPR.

Riesgo de terceros

Un elemento importante, pero que a veces se pasa por alto, de ese proceso es la evaluación del riesgo de terceros o la gestión del riesgo del procesador de datos. En virtud del RGPD, las organizaciones, cuando se les solicite, están legalmente obligadas a garantizar al regulador que estos proveedores de servicios de terceros cumplen con la nueva normativa al disponer de buenos controles de ciberseguridad y privacidad.

Como hemos visto en muchas infracciones, la seguridad de una empresa es tan fuerte como la ciberseguridad de sus proveedores de servicios de evaluación de riesgos de terceros del GDPR. Estas son las cuestiones clave que las organizaciones deben tener en cuenta para mitigar su riesgo de privacidad de datos de ciberseguridad de los proveedores de servicios de terceros.

Haga un balance de las relaciones con los proveedores existentes

¿Su organización almacena información en la nube? ¿Utiliza un proveedor para alojar su sitio web? Estas son preguntas importantes que hay que tener en cuenta; el primer paso para las organizaciones es asegurarse de tener un conocimiento completo de quién tiene acceso a qué datos.

Hoy en día, la mayoría de las organizaciones, si no todas, proporcionan algún tipo de acceso a datos o sistemas a al menos algunos proveedores externos, ya sea un proveedor de servicios de nóminas, un consultor empresarial, un proveedor de almacenamiento de datos, un proveedor de servicios de impresión, un procesador de pagos, un abogado, un proveedor de apoyo informático o incluso la empresa que proporciona la gestión de las instalaciones de su edificio.

Este es un requisito de cualquier programa de garantía de gestión de riesgos de terceros. Además de entender quiénes son estos proveedores y qué información intercambia con ellos, tanto si se ha clasificado como datos personales como si no, según el GDPR también debe tener claro quién es el controlador o procesador de datos en cada relación. Esto les ayudará a ambos a entender qué parte del GDPR debe cumplirse.

Limitar el acceso y separar los datos

Aunque puede ser necesario compartir algunos datos o sistemas con proveedores de servicios externos, dicho acceso debe ser sobre la base de la necesidad de conocer para cumplir con el principio de minimización de datos dentro del GDPR.

Una filtración de datos de tarjetas de crédito muy publicitada y muy costosa experimentada por Target Inc. comenzó con el robo de credenciales concedidas a la empresa que gestionaba el aire acondicionado de Target, Fazio Mechanical Services.

Los atacantes infectaron al proveedor con un malware de propósito general a través de una campaña de phishing por correo electrónico. Aunque se pueden extraer muchas lecciones de la desgracia de Target, una de las más evidentes es que el compromiso de las credenciales de un proveedor de aire acondicionado nunca debería haber llevado a comprometer los datos del sistema de pago de una empresa.

Esto podría haberse mitigado fácilmente segregando la red de aire acondicionado de la red de sistemas de tarjetas de pago de la empresa. Fazio Mechanical Services también podría haber contribuido a reducir el riesgo de ataques de phishing impartiendo regularmente cursos de concienciación sobre ciberseguridad a su personal.

Revisar los contratos existentes

Un contrato escrito servirá de base fundamental para la relación con los proveedores de servicios de terceros. De hecho, según el GDPR, las actividades del procesador de datos deben estar regidas por un contrato vinculante con respecto al controlador. Su organización debe revisar los contratos de proveedores existentes con vistas a mitigar el riesgo de ciberseguridad.

Hay una serie de protecciones contractuales que pueden ayudar a gestionar dicho riesgo:

Considere la posibilidad de ampliar sus propias políticas de seguridad a los proveedores de servicios. Los contratos pueden incluir disposiciones que exijan a los proveedores el cumplimiento de procedimientos de ciberseguridad y controles técnicos específicos. También ayudaría que se construyeran en torno a un marco de seguridad reconocido como NIST, BS 27001 o los 20 principales controles de seguridad del CIS.

Considere la posibilidad de exigir al proveedor que presente declaraciones o garantías sobre sus prácticas de ciberseguridad o que autorice a su organización a realizar auditorías sobre la capacidad del proveedor para cumplir y mantener sus expectativas de seguridad.

Exigir que el proveedor de servicios aplique la notificación oportuna de cualquier incidente de seguridad que experimente. Esta disposición también podría definir los derechos de su organización para controlar cualquier respuesta o divulgación a terceros en caso de incidente.

Emplee buenos controles de seguridad y limite las transferencias descendentes de sus datos, específicamente los datos personales según el GDPR.

Exija al proveedor que destruya las copias de sus datos de la manera que usted especifique al finalizar la relación.

Considere cómo asignar la responsabilidad mediante disposiciones de indemnización o limitaciones de responsabilidad basadas en la naturaleza de la relación, la sensibilidad de los datos implicados y los requisitos del GDPR.

Considere la posibilidad de exigir al proveedor de servicios que mantenga una cobertura de seguro relacionada con la ciberseguridad. Debe considerar si las violaciones de datos derivadas de los proveedores de servicios de terceros entran en la cobertura de su propio seguro y en qué medida. También existe una cobertura combinada de seguro de responsabilidad civil y ciberseguridad para obtener la mejor cobertura posible.

Conozca sus derechos en relación con el GDPR

En virtud del RGPD, los encargados del tratamiento, al igual que los responsables del mismo, están obligados a aplicar medidas de seguridad adecuadas. Lo que es apropiado se evalúa en términos de una variedad de factores, incluyendo la sensibilidad de los datos, los riesgos para los individuos asociados con cualquier violación de la seguridad, el estado de la técnica, los costos de implementación y la naturaleza del procesamiento.

También es necesario comprobar periódicamente la eficacia de las medidas de seguridad. Además, los encargados del tratamiento están obligados a notificar a su correspondiente responsable del tratamiento cualquier violación sin demora indebida después de tener conocimiento de ella. La nueva normativa sobre datos también implica que las organizaciones tienen una cláusula de derecho a la auditoría en sus contratos con los encargados del tratamiento.

Desarrolle un programa de garantía de riesgo cibernético y cumplimiento del GDPR de terceros

Después de revisar los contratos existentes para estos requisitos, una organización debe considerar si dichos contratos pueden y deben ser renegociados. Este paso no debe descuidarse dado que a menudo los contratos existentes no cumplen con las normas del GDPR.

Además, una organización debe desarrollar directrices de protección de datos de ciberseguridad para futuros contratos. Una vez que estos contratos revisados hayan sido renegociados y puestos en marcha, las organizaciones deberían implementar un Cumplimiento Continuo.

Por último, las empresas deben buscar un programa de supervisión que les permita controlar el riesgo cibernético y el cumplimiento del GDPR de sus terceros a petición. Este programa debe tener la capacidad de supervisar no solo el riesgo de terceros, sino también el riesgo de cuartos y terceros en su ecosistema de proveedores de servicios y socios.

Uno de los hilos conductores del GDPR es el requisito de demostrar el cumplimiento. En caso de que se produzca una infracción de los datos o una auditoría por parte del regulador, se le pedirá que demuestre una buena garantía de terceros. Esto puede lograrse fácilmente con un programa de supervisión continua del cumplimiento.

Un enfoque preventivo del riesgo de terceros

El hecho de que la brecha de Target se originara en un proveedor de servicios de terceros no impidió que Target incurriera en enormes pérdidas en forma de gastos de litigio y pérdida de confianza de los clientes, entre otras cosas. Por ello, el objetivo principal es prevenir un incidente.

Si se produce un incidente, la solidez de los procedimientos y prácticas de una organización con respecto a los proveedores de servicios de terceros podría ayudar a limitar su responsabilidad en un litigio posterior. Esto podría incluir una demanda de los accionistas contra los directores y funcionarios, una demanda de privacidad de datos de clientes o empleados, o el escrutinio de los reguladores. De hecho, los reguladores han comenzado a ejercer un creciente escrutinio sobre las relaciones con terceros en el contexto de la ciberseguridad y la legislación del GDPR.

Acerca de Northdoor:
Northdoor plc es un proveedor líder de soluciones integradas de tecnología de la información. Sus servicios abarcan la consultoría, el desarrollo de aplicaciones, la infraestructura empresarial y la asistencia informática y los servicios gestionados. Fundada en 1989 para dar servicio al mercado londinense, Northdoor ha ampliado su experiencia en seguros y banca a sectores más amplios, como los medios de comunicación, el comercio minorista y el sector inmobiliario, y sus servicios llegan ahora a más de 400 empresas. Northdoor tiene un enfoque de colaboración y atención al cliente de alto nivel para ofrecer soluciones a medida que ayuden a los clientes a alcanzar sus objetivos empresariales.