- Recientes ciberataques han afectado a grandes entidades como Iberdrola, Santander y Telefónica.
- Los ciberataques a proveedores se están incrementando, destacando la importancia de gestionar riesgos asociados a terceros.
- La implementación de normativas como ISO 27001 y GDPR es clave para mitigar estos riesgos.
Los recientes ciberataques a grandes entidades como Iberdrola, Santander y Telefónica subrayan la creciente amenaza de la cibercriminalidad, especialmente a través de las cadenas de suministro. Estas cadenas se han convertido en objetivos atractivos para los ciberdelincuentes debido a la interconexión y dependencia entre empresas y sus proveedores.
La amenaza en la cadena de suministro
Un ataque exitoso a un proveedor puede abrir la puerta a ataques más amplios y devastadores contra empresas mayores. Los recientes incidentes han demostrado que los atacantes aprovechan vulnerabilidades en los proveedores para infiltrarse en los sistemas de grandes corporaciones.
Regulaciones y normativas
A nivel global, existen numerosas normas y leyes que regulan las obligaciones de las empresas para realizar procesos de diligencia debida antes de contratar proveedores y para monitorear continuamente su cadena de suministro. Entre estas normativas se encuentran la ISO 27001, el Esquema Nacional de Seguridad (ENS), DORA para el sector financiero, la Directiva NIS2 para servicios esenciales, el Reglamento General de Protección de Datos (GDPR) en Europa, y las directrices NIST en Estados Unidos.
Retos para las compañías clientes
Control Útil y Cumplimiento Regulatorio: Implementar procesos de evaluación exhaustivos y prácticos para asegurar que los proveedores cumplan con los estándares de ciberseguridad necesarios.
Gestión Ágil y Automatizada: Utilizar herramientas para evaluar y clasificar a los proveedores según criterios de riesgo e impacto, priorizando recursos de manera eficiente.
Modelización Escalable de Procesos TPC: Adaptar rápidamente los sistemas de Third Party Compliance (TPC) a nuevas normativas en áreas como ESG, derechos humanos e inteligencia artificial.
Aplicación de IA para Digitalización y Automatización: Utilizar inteligencia artificial para mejorar la precisión de las evaluaciones de riesgo y reducir la carga operativa mediante la automatización de tareas repetitivas.
Retos para las compañías proveedoras
Mayor Inversión en Ciberseguridad: Invertir en tecnologías avanzadas, capacitación continua del personal y políticas de seguridad robustas para ser considerados socios confiables.
Preparación y Certificación de Cumplimiento: Documentar, acreditar y certificar sistemas de cumplimiento y ciberseguridad, superando auditorías de diligencia debida de los clientes. Certificaciones como ISO 27001 o ENS son de gran ayuda.
Compromiso con el cumplimiento normativo
En un entorno donde los ciberataques son cada vez más frecuentes y sofisticados, la gestión de riesgos de terceros es crucial para las empresas. No solo se trata de proteger los propios activos, sino de asegurar que toda la cadena de suministro esté protegida contra amenazas cibernéticas. Las empresas deben adoptar un enfoque integral que incluya evaluaciones rigurosas de proveedores, procesos automatizados y escalables, y la aplicación de tecnologías avanzadas como la inteligencia artificial. Los proveedores, por su parte, deben fortalecer sus sistemas de seguridad y demostrar su compromiso con el cumplimiento normativo para mitigar riesgos y construir relaciones de confianza en un entorno empresarial interconectado y vulnerable a las ciberamenazas.
