Auditoría & Co

Los incidentes cibernéticos son una preocupación que las entidades tienen cada vez más en cuenta, ya sea por el incremento constante de ataques cada año, por los riesgos para la seguridad que ha podido suponer el teletrabajo como nuevo modelo laboral a raíz de la pandemia o por los diferentes casos de ataques conocidos (especialmente de ramsomware en el que se cifran los datos de una entidad y se exige un rescate para recuperarlos).

En concreto, el informe de Ciberamenazas y tendencias del CCN recoge entre otros aspectos que:

  • El 23 % de las empresas grandes en España ha sufrido algún incidente de seguridad durante el último año. En el caso de las pymes el porcentaje baja hasta el 12 % y en el caso de ciudadanos sube hasta situarse en el 28 % por debajo de la media europea que se sitúa en el 34 %.
  • El último año el CCN-CERT gestionó 42.997 ciberincidentes –más de un 11 % con respecto al año anterior–, de los cuales casi un 7,5 % fueron de peligrosidad muy alta o crítica. Destacan de manera clara los incidentes relacionados con intrusiones y código dañino (64% del total).
  • Las principales amenazas incluyen: ciberespionaje, manipulación de información, interrupción de servicios, manipulación de sistemas, robo de información y sabotaje.
  • El aumento del teletrabajo ha incrementado del uso de servicios y productos de terceros que serán foco de ataques como por ejemplo: soluciones en la nube (almacenamiento, ofimática, etc.), conexiones VPN, servicios de escritorio remoto virtual (VDI), redes de confianza cero y gestión de identidades, servicios y tecnologías para el acceso remoto, uso de herramientas colaborativas, aplicaciones de videoconferencia, redes domésticas, dispositivos personales, etc.

Una entidad no solo está en riesgo de sufrir las consecuencias de un ataque cibernético directo sobre ella, sino que también está en riesgo de sufrir las consecuencias de estos ataques sobre sus proveedores con el prejuicio que puede tener para sus datos, su servicio y su imagen. Son riesgos que se corren no solo al externalizar la operación de procesos tecnológicos (como el hosting) sino también procesos que utilizan tecnología (como puede ser un call center).

Este mismo informe del CCN indica que estos ataques a terceros (cadena de suministro) es una amenaza emergente que seguirá aumentando en los próximos años. El propósito es evadir ciertos controles de prevención y detección al comprometer directamente a los proveedores externos, socios o clientes ya que la mayoría de las empresas no controlan ni validan el software o hardware que utilizan, ni a sus propios proveedores o socios desde el punto de vista de la ciberseguridad. Los atacantes aprovechan estas debilidades para perpetrar sus intrusiones en las redes objetivo valiéndose de que los proveedores o entidades asociadas disponen de algún tipo de interconexión o acceso a la red objetivo.

Las entidades no deberían preocuparse por la seguridad del proveedor únicamente cuando se ha sufrido un perjuicio por un incidente de seguridad en este. Las entidades deberían preocuparse por establecer un modelo de Vendor Risk Management en el que identifiquen las necesidades de seguridad de los servicios que van a subcontratar, analicen la seguridad de los potenciales proveedores, seleccionen uno que cubra sus necesidades de seguridad, acuerden mantener esos niveles de seguridad y realicen verificaciones periódicas de su cumplimiento monitorizando así el riesgo en todo el ciclo del proveedor.

Este modelo no asegura que el proveedor no pueda sufrir un incidente de seguridad, porque todas las entidades pueden sufrirlo (aunque estén bien preparadas), pero si permite identificar aquellas entidades que no toman un mínimo de medidas de seguridad y son más vulnerables a sufrir un ataque.

Para realizar estas verificaciones de la seguridad de sus proveedores, las entidades pueden basarse, entre otros, en una combinación de cuestionarios, herramientas y auditorías.

Hay que tener en cuenta que un sistema de Vendor Risk Management es un proceso continuo de control de la seguridad en los proveedores y los recursos de las entidades son finitos por lo que se requiere utilizar estos esfuerzos de la manera más eficaz posible poniendo el foco en los mayores riesgos de seguridad.

Es en este punto donde toman especial relevancia los informes y certificaciones de seguridad de la información. Las certificaciones tienen como principal objetivo demostrar que una entidad independiente ha verificado el cumplimiento de un conjunto de aspectos de seguridad recogidos en una norma (ISO 27001, Esquema Nacional de Seguridad, ISAE3402, FedRamp, SOC2, etc.).

Disponer de certificaciones de seguridad permite tanto al cliente como al proveedor un ahorro muy significativo de tiempo en la verificación de aspectos de seguridad, tanto en el análisis de potenciales proveedores (en los que una auditoría detallada de seguridad de todos ellos a tiempo podría ser inviable) como en la verificación de varios de los requisitos de seguridad del modelo Vendor Risk Management en el proceso de contratación y monitorización.

De hecho, si todos los clientes de servicios estableciesen un modelo Vendor Risk Management para gestionar el riesgo en sus proveedores, todo indica que tendrían que producirse los siguientes efectos:

  • Aumentaría el número de solicitudes de servicios con exigencias de seguridad para su contratación.
  • Aumentaría el control sobre la seguridad de los proveedores durante la prestación de sus servicios.
  • Esta presión comercial llevaría a más proveedores de servicios a obtener certificaciones de seguridad tanto para demostrar en la fase de selección un valor diferencial (y aumentar su probabilidad de ser contratados) como para ahorrar esfuerzos en la cantidad de evidencias y auditorías que tendrían que cubrir al tener que satisfacer a cada uno de sus clientes.
  • Este aumento de certificaciones de seguridad reduciría el esfuerzo de monitorización de los clientes.

Por lo tanto, sería de esperar que cuando los clientes establezcan modelos de Vendor Risk Management, aumentará el número de certificaciones de seguridad de sus proveedores y esto reduzca la dedicación al mantenimiento de Vendor Risk Management. Pero lo más importante sería que la seguridad de la información se habría establecido como una parte imprescindible para que los proveedores pudiesen proporcionar servicios a clientes y esto es un claro beneficio para todos los usuarios.

A nivel nacional, un claro impulsor de la seguridad en proveedores es el Esquema Nacional de Seguridad (ENS) que requiere la certificación de sistemas de información de categoría media o alta de entidades públicas así como de sus proveedores, estableciendo un registro de sistemas certificados de entidades públicas y entidades privadas.

El escenario en el que todas las entidades dispongan de un modelo Vendor Risk Management no tendría que tardar en llegar ya sea para mejorar su nivel de seguridad o para dar cumplimiento a regulaciones y normas de seguridad de la información que requieren establecer un control y monitorización sobre la seguridad de los proveedores y procesos externalizados (ENS, ISAE3402, RGPD, ISO 27001, etc.).

Hasta entonces aquellas entidades que establezcan un modelo Vendor Risk Management estarán demostrando su proactividad por mantener la seguridad de la información, reduciendo la posibilidad de disponer de proveedores sin medidas de seguridad adecuadas, obteniendo un valor diferencial frente a la competencia y colaborando a que todo el mercado mejore sus medidas de seguridad de la información.


Juan Manzano

Senior manager en el área de Risk Advisory