Esquema Nacional de Seguridad: riesgos en la cadena de suministro
Las organizaciones, tanto públicas como privadas, dependen cada vez más de servicios que por diversos motivos contratan con terceros, pero ¿cómo afectan estas asociaciones a su seguridad?
La contratación de servicios externos implica ciertos riesgos, especialmente cuando tiene lugar un intercambio de información. Normalmente, cuando una empresa contrata servicios necesita poner en manos de terceros datos que pueden ser confidenciales para su negocio y aunque dentro de su infraestructura la información se encuentre protegida, al compartirla, será inevitable que pierda control sobre su seguridad.
Según el informe Data Breach Investigations Report publicado por la compañía estadounidense Verizon, la cadena de suministro es un objetivo cada vez más explotado, con un aumento en el último año de un 68% en ataques dirigidos. Asimismo, Caleb Merriman, CISO de Deltek, calcula que el 98% de las organizaciones a nivel internacional se encuentran conectadas con algún proveedor externo que ha sido víctima de algún ciberataque en los dos últimos años.
Se trata, por tanto, de una realidad ampliamente extendida. La transformación digital ha acelerado la integración entre las organizaciones y sus proveedores desatando un gran desafío en el que hacer frente a los potenciales incidentes de seguridad y brechas que pueden tener lugar fuera de las paredes de la propia organización.
Los proveedores en la estrategia de negocio
La importancia estratégica del proceso de contratación de servicios con terceros puede responder a diversas causas. En algunos casos, las organizaciones contratan servicios externos para cubrir demandas de soporte a los equipos internos, por ejemplo, en el desarrollo o mantenimiento de aplicaciones informáticas. En otros, buscan apoyo en materias específicas con conocimiento especializado, como es el caso de los servicios de consultoría. Y también hay casos en los que siendo inviable gestionar un servicio de forma interna en exclusiva se da la necesidad de externalizar el servicio al completo. Sin embargo, ninguna de estas posibilidades supone una transferencia de responsabilidades y son las organizaciones contratantes las que deben identificar y gestionar los riesgos a los exponen sus activos al establecer relaciones con terceros.
Estamos acostumbrados a metodologías de análisis del riesgo aplicables a activos que, en el caso de los proveedores, no tienen sentido. De un proveedor lo que nos interesa saber es cómo de importante es para el negocio.
Evaluar los riesgos de los proveedores es un proceso complejo que para ser funcional requiere la aplicación de un método adecuado y proporcional a las características del servicio y de la empresa. Incluso antes de comenzar con el proceso de búsqueda, la organización debería conocer los riesgos inherentes al servicio y definir un apetito del riesgo teniendo en cuenta, por ejemplo, si se trata de un servicio con o sin acceso a datos, con o sin acceso a sus sistemas de información, o si se trata de un servicio crítico para el negocio que podría generar su disrupción.
Como punto de partida, la organización debe saber si el proveedor que contrata es más o menos crítico para su actividad conociendo cuál es el nivel de integración en su cadena de valor, su capacidad de manejar o no datos confidenciales, cuál es su localización, si requiere prestar servicios en las instalaciones de la empresa o no, si cumple unos acuerdos de nivel de servicio más o menos estrictos, o si dispone certificaciones de seguridad.
Tras un primer cribado de este estilo, la organización podrá aunar sus esfuerzos y determinar si tiene cabida analizar los riesgos de un proveedor en mayor profundidad. Es decir, no todo proveedor tendrá en mismo nivel de criticidad para la empresa, ni deberá someterse a los mismos niveles de exigencia en el proceso de contratación.
El Esquema Nacional de Seguridad (ENS) y la cadena de suministro
El claro ejemplo en España de la norma que obliga a establecer garantías y asegurar que los proveedores gestionarán la información de las organizaciones a las que prestan servicio de forma adecuada es el Esquema Nacional de Seguridad (ENS), que señala que:
«A la hora de contratar un servicio externalizado se deberá notificar a los prestadores que deseen participar en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad».
¿Qué significa esto? Que los proveedores que quieran prestar servicio a las Administraciones Públicas tienen que hallarse en disposición de exhibir el certificado de conformidad con el ENS en la categoría de seguridad que solicite la entidad contratante.
¿Puede entonces un proveedor no certificado ser contratado por la Administración Pública? Todo apunta a que el proveedor que quiera prestar servicios a las AAPP antes o después estará certificado, no le queda otra. Sin embargo, es cierto que aún queda mucho camino por recorrer y que el número de empresas certificadas en la actualidad, que según los últimos datos publicados por el CCN en su página web es de 874, resulta insuficiente para cubrir toda la demanda e implica, por tanto, la posibilidad de que algunos pliegos emitidos puedan quedar desiertos por escasez de oferta.
La realidad, es que la Administración Pública está contratando proveedores no certificados en el momento de la licitación. Existe la posibilidad de que la entidad contratante incluya en las prescripciones técnicas del contrato las medidas de seguridad a implantar por el proveedor en un periodo de tiempo predefinido, pero el objetivo será el mismo: que el proveedor se certifique.
Esta última solución converge con la actividad que el proveedor deberá atender en función de las conclusiones del análisis de riesgos realizado, ya que las AAPP también se reservan el derecho de poder exigir la implementación de medidas adicionales atendiendo al riesgo que el servicio suponga para su negocio y que, en conclusión, refuerza la exigencia de que el proveedor se encuentre certificado.
Algunas organizaciones lo que hacen es auditar a los proveedores en materia de seguridad, bien sea con medios propios o mediante servicios externos, una vez contratados. Pero para ello hay que tener medios, y no todas las entidades cuentan con medios suficientes para enfrentar los costes que esto supone, por lo que su única opción es la de contratar proveedores certificados.
La seguridad de la información, los datos y los sistemas gestionados por externos depende enormemente de las medidas de control que éstos adopten y ya son diversos los marcos normativos, como NIS2 o DORA, que están comenzando a requerir de forma obligatoria el cumplimiento de ciertas directrices en la gestión de riesgos de la cadena de suministro, y que en caso de incumplimiento conllevarán importantes sanciones. Se estima así que, aunque se trate de una tarea compleja, cada vez más empresas se encuentren adecuadas a los diferentes requerimientos normativos de seguridad.
Loreto Astrain
Centro de Competencia ENS de Govertis, part of Telefónica Tech
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
