Reglamento NIS, gestión de terceros y PINAKES
La directiva europea de Seguridad de las Redes y Sistemas de Información ya se ha transpuesto a nuestro ordenamiento jurídico y ha venido ha enfatizar la necesidad de gestionar el riesgo de ciberseguridad de la cadena de suministro. Esto coincide con el nacimiento del servicio PINAKES lanzado por la comunidad financiera y que permite a las entidades financieras adheridas conocer detalladamente el nivel de seguridad de sus proveedores.
La publicación del R.D 43/2021 ha venido ha enfatizar la necesidad de gestionar el riesgo de ciberseguridad de la cadena de suministro y, por ende, a dar un argumento adicional a todos aquellos que apuestan por la calificación de ciberseguridad como mecanismo para soportar dicho proceso.
Con la publicación de este Reglamento se culmina la tarea pendiente de desarrollar el R.D.L. 12/2018 de seguridad de las redes y sistemas de información que daba transposición a la conocida como Directiva NIS (network and information security) y que ha venido en denominarse coloquialmente como "Reglamento NIS".
Básicamente este reglamento cubre tres aspectos principales que estaban pendientes de desarrollo:
- La designación de autoridades competentes para cada sector esencial y su habilitación para supervisar la seguridad de los operadores de servicios esenciales.
- La definición de la figura del Responsable de la Seguridad de la Información (más conocidos como CISO - Chief Information Security Officer).
- El funcionamiento específico del mecanismo de notificación de incidentes.
Al margen de otros análisis realizados, nos gustaría explorar este Reglamento desde la perspectiva de la gestión de riesgos de terceros, como ámbito en el que desde LEET Security enfocamos la colaboración con nuestros clientes. En este sentido nos gustaría destacar los tres apartados en los que se hace mención a esta materia en dicho Reglamento:
· Artículo 6.1 Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos.
· Artículo 6.2 En el caso de los operadores de servicios esenciales, deberán aprobar unas políticas de seguridad de las redes y sistemas de información [...].
Dichas políticas considerarán, como mínimo, los siguientes aspectos:
[...] b) Gestión de riresgos de terceros o proveedores.
· Artículo 8.1 Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios. En el caso de redes y sistemas que no sean propios los operadores deberán tomar las medidas necesarias para garantizar que dichas acciones se lleven a cabo por los proveedores externos.
Es decir, que además de las consabidas "guías"de los organismos europeos que actúan como supervisores (EBA, EIOPA y ESMA) y los requisitos del RGPD sobre los encargados de tratamiento
(para datos de carácter personal), ahora también todos los que sean operadores esenciales deberán aplicar una debida diligencia en la selección y supervisión de terceros pues el Reglamento deja claro (aunque ya era así antes) que el operador es responsable de la seguridad de los terceros que utiliza.
Es importante notar que estas normativas suponen la necesidad de que se dediquen recursos a evalúar los niveles de seguridad de los servicios ofrecidos en estos ámbitos. Estos recursos podrán ser asignados por cada uno de los clientes de dichos servicios (como era habitual hace meses: cuestionarios, auditorías de segunda parte, fueran o no compartidas) o, lo que es más eficiente, que sean dedicados por el propio proveedor del servicio utilizando un mecanismo que permita satisfacer la necesidad de saber de todos sus clientes (como es el caso de la calificación y, en particular, del recién lanzado servicio PINAKES para las entidades financieras). Pero que no lo quepa duda a nadie, alguien tiene que dedicar recursos a la evaluación de seguridad; pensar que cómo no lo estamos haciendo, no existe ese coste es llamarse al engaño y jugársela a que no pase nada.
UTILIDAD DE LEET SECURITY PARA LOS PRESTADORES DE SERVICIOS
Especialmente la calificación de seguridad (aunque también el Assessmet podría resolver esa necesidad para servicios menos críticos) permite a los proveedores de servicios para clientes afectados por las normativas mencionadas anteriormente demostrar un nivel de seguridad a todos sus clientes. Es decir, la calificación de un servicio tiene un retorno claro: Posiciona mejor al proveedor del servicio frente a sus clientes al demostrar transparencia y ahorrarles el esfuerzo de tener que evaluarlos.
SOLUCIÓN DE LEET SECURITY PARA LOS USUARIOS DE SERVICIOS PINAKES
Para aquellas entidades afectadas por alguna de estas normativas, recurrir a los diferentes servicios de análisis de seguridad de servicios que ofrecemos (auto-evaluación, evaluación o calificación) permite un gran ahorro de costes al proporcionar un mecanismo eficiente y eficaz para conocer el nivel de seguridad de toda su cadena de suministro con una inversión mínima.
Un caso paradigmático de este enfoque es PINAKES. Este servicio de calificación de ciberseguridad, lanzado por la comunidad financiera (a través del Centro de Cooperación Interbancaria), permite a las entidades financieras adheridas obtener un conocimiento detallado y exhaustivo del nivel de seguridad de sus proveedores, pudiendo enfocar los recursos disponibles para gestionar dicho riesgo. No en "conocer" su nivel de seguridad mediante procedimientos ligeros de amplia cobertura, sino en profundizar en aquellos aspectos que la calificación de dichos proveedores ponga de manifiesto.
En resumen, como solemos decir en la Agencia: Si eres proveedor, calíficate y si eres usuario, exíge la calificación.
All you need is LEET!
Recibe nuestras notificaciones desde este enlace