Los proveedores como fuente de riesgo TIC en las Pymes

De todos es conocido que en España la mayor parte del tejido empresarial lo conforman las Pymes. Según datos proporcionados por el Ministerio de Empleo y Seguridad Social en junio de 2018en España tenemos 1.312.813 empresas. De de las cuales, el 87%  resultan ser micropymes (1 a 9 asalariados), el 11 % son pequeñas empresas (10 a 49),  el 1,9 % son medianas (50 a 249 asalariados). Y solamente 4.578 son grandes empresas de más de 250 empleados.

Estudios de entidades reconocidas en la materia, como el Instituto Ponemon , indican que las Pymes son cada vez más vulnerables a los ciberataques. En el informe que publicó esta organización en 2017 se muestra que hasta un 64% de las empresas entrevistadas declararon haber sufrido algún ciberataque, de los cuales 54% habrían concluido con fugas de información.  Y sólo el 55% de los encuestados en el estudio afirmaba disponer de un plan de respuesta a incidentes. Lo cual refleja que la gestión de la seguridad de la información en la Pyme tiene aún un largo recorrido por andar.

La Pyme no sólo debe aplicar las medidas de seguridad adecuadas para garantizar la continuidad del negocio y la disponibilidad de sus servicios para ser más competitivos y para preservar su reputación; sino que en la situación actual que vivimos en Europa, y más concretamente en España, cualquier empresa, incluidas las Pymes, está obligada a gestionar el riesgo TIC por cumplimiento normativo. Empezando por el RGPD, y siguiendo con la directiva NIS, el Esquema Nacional de Seguridad (ENS) para las que prestan servicios digitales a las Administraciones Públicas, y próximamente también el ePrivacy.

Uno de los aspectos que se analiza en la gestión del riesgo de la información es la relación con los proveedores. Normativas y estándares de seguridad como el RGPD, el ENS, la ISO 27001, la ISA 62443, el NIST Cybersecurity Framework, la guia NIST SP 800-53, el SOC2, e incluso normativas sectoriales como las recomendaciones EBA del sector bancario, contemplan la gestión del riesgo de los suministradores como un aspecto clave.

Al hilo del riesgo que introduce en la empresa su relación con los proveedores, cabe destacar del estudio del Instituto Ponemon, que la segunda causa por la que se producen las brechas de seguridad en la información es precisamente la relación con terceras partes; es decir, con los proveedores.

Hay que tener en cuenta que las Pymes en España tienen un alto grado de externalización, tanto para la operación de las TIC como para la gestión de otros servicios, como pueden ser asesorías fiscales, laborales o legales, consumiendo además cada vez más servicios cloud de terceros. Si una empresa pone en manos de otro sus principales activos de información es ineludible que defina unos requisitos mínimos de seguridad a la hora de elegirlo y contratarlo. Por tanto, tanto desde el punto de vista de prestador de servicios, como de consumidor de los mismos es altamente recomendable que las empresas establezcan unos criterios de seguridad en relación a los servicios TIC.

Y particularmente estas Pymes, por carecer de recursos especializados para gestionar estos aspectos de seguridad, ajenos a las actividades focales de sus negocio, tienen una mayor dificultad para poder asegurar el cumplimiento de todas las obligaciones relacionadas con la seguridad de la información, por lo que la posibilidad de un incidente puede tener consecuencias especialmente negativas.

En este sentido, la metodología de la Calificación de Seguridad de LEET les facilita enormemente estas tareas. Por una parte, ofrece un marco de control con diferentes niveles que permiten determinar los requerimientos necesarios para los servicios contratados, facilitando de esta forma la comparativa entre las disintas propuestas. Y al mismo tiempo,  a los proveedores o encargados les permite acreditar que disponen de las medidas técnicas y organizativas correspondientes al nivel de su calificación.

Como usuario, exígela. Como proveedor, acredítala.

All you need is LEET.

Suscríbete a nuestras novedades desde este enlace