Togas.biz

Cada día se hacen más esfuerzos por concienciar y por regular el uso de los datos, como en el caso de las regulaciones de protección de datos personales (RGPD). Esfuerzos por informar al usuario de lo que se hará con sus datos, a que empresas se les prestarán o incluso a que empresas “se regalarán”.

Estos esfuerzos caen en saco roto si los usuarios terminan instalando cualquier aplicación (en su teléfono, Tablet, ordenador, etc.) aceptando cualquier aviso de uso de su información sin interesarse por su contenido. Aceptar cualquier aplicación que sea tendencia y “gratis”. Eso es no valorar nuestra información, es desconocer con lo que estamos comerciando.

Es posible que no estemos aun preparados para entender que nuestra información es importante y que somos nosotros los responsables de velar por la seguridad de la misma y exigir que las entidades la protejan adecuadamente.

Muy diferente sería la cosa si esas aplicaciones exigiesen proporcionar los datos de acceso pleno a sus cuentas bancarias. Nuestra información en general no nos preocupa, pero si la que afecta a nuestro dinero. Nos sigue faltando sensibilidad con la importancia del resto de información.

Si a nivel personal no estamos preparados para proteger nuestros datos en el mundo digital actual ¿lo estamos a nivel empresarial?

A lo largo de los años uno de los avances más importantes de las normas y regulaciones en seguridad informática ha sido tratar de implicar a la dirección lo máximo posible, tratar de que se preocupasen por la seguridad de la información, tratar de hacerles responsables.

Parece que el primer concepto que caló en las organizaciones fue la necesidad de “disponibilidad” de la información y los sistemas informáticos, evitar que paren los sistemas de información porque sin ellos el negocio se detiene (es uno de los requisitos que se suelen exigir contractualmente a los proveedores).

Este mismo mes el Instituto de Auditores Internos ha publicado “Risk In Focus 2021” en el que se recogen los resultados de su encuesta a comités de auditoría y expertos, indicando los riesgos más relevantes que afrontan las organizaciones, siendo los 10 primeros:

  1. Ciberseguridad y seguridad de los datos
  2. Cambio y cumplimiento de la normativa
  3. Digitalización, nuevas tecnologías e IA
  4. Riesgos financieros, de capital y de liquidez
  5. Gestión del capital humano y del talento
  6. Continuidad de negocio y respuesta a las crisis
  7. Incertidumbre macroeconómica y geopolítica
  8. Cadenas de suministro, subcontratación y riesgo en terceros.
  9. Comunicación, gestión y reputación
  10. Gobierno y reporte corporativo

Es muy buen signo ver como por fin la ciberseguridad y la seguridad de los datos es un riesgo prioritario para las organizaciones, se preocupan por su información y la de sus interesados (clientes, colaboradores, etc.).

¿Cómo es posible que entonces el riesgo en terceros ocupe el numero 8? ¿No se percibe que un proveedor puede generar gran cantidad de riesgos diferentes: riesgos de ciberseguridad, riesgos de cumplimiento, riesgos para la continuidad de negocio, uso inadecuado de nuevas tecnologías, etc.?

En este momento en el que la Pandemia ha implicado depender más que nunca de los sistemas informáticos de terceros y en el que los proveedores se encuentran en un mercado impactado por la crisis ¿Se está valorando correctamente las pérdidas que supondrían los incidentes de seguridad de los proveedores o su indisponibilidad?

¿Se valora así porque realmente se desconoce el riesgo real en terceros o porque no se ha valorado correctamente?

Pongamos por ejemplo el caso de un proveedor que se encargase de la recaudación de la entidad, su transporte y su custodia. Seguro que en ese caso la entidad se preocuparía por controlar quien tendrá acceso al dinero, si se custodia con seguridad, si no se pierde o daña en el transporte, si se almacena correctamente, si no se utiliza para otros fines no contratados y si la empresa proporciona “seguridad”.

¿Por qué no se hace lo mismo en todas las entidades con los proveedores que tienen acceso a la información? ¿Por qué no se aplican en todas las entidades programas de gestión y control de la seguridad de la información en proveedores?

Volvemos al problema de raíz, o no se entiende el valor real de la información que utilizan los proveedores o no somos capaces ver el riesgo de terceros.

Existen contadas entidades que ya han implantado estos sistemas de gestión y control pero aún está muy lejos de ser una práctica común en todas las entidades.

Como cliente de una entidad, si se produce un incidente con los datos que he proporcionado, me es indiferente si fue en los sistemas de la entidad o un proveedor suyo. La entidad es la responsable y debe rendir cuentas por ello. Esto es lo que las entidades tienen que asumir.

Esperemos que tanto las personas como las entidades empiecen a preocuparse lo más rápidamente posible por la seguridad de la información cuando se utilizan terceros y esto lleve a establecer un control continuo que implique la mejora de la seguridad de manera permanente.

Hasta entonces, seguramente seguiremos sin estar preparados para proteger nuestros datos en la situación actual, seguiremos corriendo el riesgo.


Juan Manzano

Senior manager en el área de Risk Advisory