Segu r i d a d E strat é g ica C or p orat iva
Riesgos de ciberseguridad en proveedores Auditoría y monitorización continua (CA&CM)
Las estrategias basadas en la orientación completa
»
del negocio a las necesidades de los clientes han
proveedores con impacto en la empresa.
provocado un incremento considerable en el volumen de datos recogidos sobre ellos. Esta tendencia, sumada a la mayor dependencia de los proveedores como estrategia de optimización de costes, entraña nuevos retos para la ciberseguridad y la privacidad a los que las empresas deben hacer frente.
Ausencia de visibilidad y capacidad de supervisión
sobre los procesos o recursos tecnológicos operados por »
Falta de madurez los modelos de supervisión del
riesgo a un entorno distribuido, en el que la cadena de valor está soportada por diversos proveedores. »
No suele existir un criterio claro y estandarizado so-
bre cómo supervisar el riesgo en los proveedores, salvo por la definición de requerimientos en el contrato, lo que resulta insuficiente. Teniendo en cuenta estas circunstancias, se vuelve necesario desarrollar modelos de supervisión que no requieran una excesiva madurez para su implementación, pero que controlen de forma efectiva los riesgos a los que la empresa está sujeta, incluyendo aquellos resultantes de la externalización.
Con el paso de los años, la tecnología ha pasado de ser
10 //
un área de inversión accesoria, con poco aporte de va-
/ AUDITORÍA Y MONITORIZACIÓN CONTINUA
lor en la organización, a convertirse en un eje esencial,
Para lograr una supervisión efectiva de proveedores,
dando lugar a nuevos modelos de negocio basados o so-
debe definirse una estrategia que cumpla con los si-
portados en las TIC. Con el incremento de este nivel de
guientes requerimientos mínimos:
dependencia, y motivadas por la optimización de costes,
»
muchas empresas han recurrido a la externalización.
pleta y homogénea de todos los proveedores no es asu-
Este desarrollo, además, ha permitido un incremento
mible, por lo que debe determinarse cuáles requieren
exponencial en el volumen de información recopilada
mayor atención.
para soportar los procesos y la toma de decisiones. Por
»
otro lado, a medida que los modelos de negocio se han
proveedor, existirá un nivel mínimo de visibilidad que
ido orientando hacia el cliente, también ha crecido el
este deberá proporcionar para garantizar una adecuada
volumen y la diversidad de información sobre ellos.
supervisión.
En la actualidad, las empresas se ven sujetas a un con-
»
texto con mayores niveles de incertidumbre y a un in-
garantizar una gestión de los riesgos introducidos por
cremento en su exposición a los riesgos —tanto tecno-
actores externos.
lógicos como legales y reputacionales— derivados del
»
uso de la información. En concreto, destacan por su
res que se han de supervisar y la complejidad de esta ta-
relevancia los siguientes condicionantes para la gestión
rea, recurrir a la automatización es vital para asegurar
del riesgo tecnológico:
que sea abarcable.
»
»
Los requerimientos regulatorios son mayores, como
Priorización. En muchos casos, una gestión com-
Visibilidad. Dependiendo de la criticidad de cada
Colaboración. Este es un factor crítico a la hora de
Automatización. A medida que aumentan los acto-
Flexibilidad. Cada proveedor se sitúa en un contex-
resultado de un aumento en la tipología de información
to distinto, por lo que la empresa debe definir estrate-
recopilada sobre los clientes.
gias que permitan gestionar el riesgo en entornos muy
»
heterogéneos.
Aumento en el número y criticidad de procesos ope-
rados por proveedores, lo que implica una mayor de-
»
pendencia.
que ofrezcan una garantía mínima sobre el cumpli-
DICIEMBRE 2020
Seguimiento. La empresa debe desplegar procesos
