Generación de confianza en las relaciones con terceros

Daniel García, director gerente de ISMS Forum07/10/2021

El momento social y coyuntural presente requiere de una alta hiperconectividad y dependencia tecnológica, que necesariamente hereda un fenómeno de Transformación Digital acelerada nunca antes conocido, por el que se produce un incremento exponencial en la demanda de servicios y productos relacionados con la seguridad de la información y la protección de activos de información.

No es inferior el aumento de la exposición a los denominados ciber-riesgos, convirtiéndose asimismo en una brecha inexorable para las relaciones comerciales y la prestación de servicios entre empresas, sus relaciones con terceras partes que atienden a regulaciones específicas por su naturaleza (estratégicas, infraestructuras críticas, esenciales, o digitales, entre otras) y, especialmente, en lo referido a los riesgos asociados con la subcontratación a proveedores o servicios de terceros.

El desarrollo regulatorio del espacio digital ha generado garantías basadas en el cumplimiento; de un lado, el Real Decreto-ley 12/2018 (desarrollado a través del Real Decreto 43/2021), de 26 de enero, que transpone de manera definitiva la Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (especialmente en cuanto a las medidas de cumplimiento relativas a establecer condiciones mínimas de seguridad en el marco de los servicios esenciales y digitales); y de otro lado, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, directamente aplicable desde el 25 de mayo de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que ha supuesto un cambio total de paradigma a la hora de determinar y regular el cumplimiento de las obligaciones en materia de protección de datos, estableciendo la obligación legal para las empresas de adoptar un enfoque de riesgos frente a los viejos modelos de cumplimiento meramente formal.

Centrando la atención en las relaciones con terceros, el ordenamiento jurídico español regula la adopción de un nivel de responsabilidad de aplicación limitada para garantizar que las empresas comprendidas en el marco normativo que prestan y consumen procesos, servicios y/o productos implementen medidas adecuadas. En el prisma de privacidad, el RGPD recoge el principio básico de la “responsabilidad proactiva” o “Accountability”, lo que conlleva que las empresas sean quienes determinen y evalúen cuáles van a ser las mejores medidas y puedan demostrarlo, así como que deban verificar periódicamente las medidas implantadas.

Como resultado de estas medidas se genera una mayor dependencia de las empresas con respecto de sus relaciones con terceros y la cadena de suministro, la responsabilidad y el deber de diligencia de las empresas no solo va a suponer un mayor conocimiento de la cadena de suministro y una mejora en la toma de decisiones, sino que además obliga a las empresas a tener políticas de externalización de servicios y su evaluación, a analizar y evaluar los riesgos, controlar y supervisar a los terceros que accedan a datos personales a lo largo de todo el ciclo de vida de la prestación de servicios que realicen (elección del prestatario, negociación y firma de contrato, monitorización y vigilancia del cumplimiento del contrato, terminación de la prestación de servicios, etc.) e incluso a determinar conjuntamente los controles de los riesgos.

No obstante, cabe reflexionar sobre la importancia de implementar y procedimentar medidas adicionales que proporcionen confianza a todas las partes interesadas (personas, procesos y tecnologías) para garantizar el cumplimento de los requisitos regulatorios en ciberseguridad y privacidad, pero también con el objetivo de superar consideraciones relacionadas con la imagen y reputación corporativa en sus relaciones con terceros. En definitiva, hablamos de la generación de confianza y competitividad en las relaciones con terceras partes.

No cabe duda de que el sector empresarial categorizado en el marco normativo aplicable establece por defecto pautas y principios para la gestión de riesgos asociados principalmente a la relación con sus proveedores de servicios y/o productos, incluso aquellos sectores en los que la evolución de la regulación apunta a que, debido a su criticidad o actividad, serán incorporados en este marco de vigilancia activa. Sin embargo, las relaciones entre organizaciones de cualquier naturaleza y volumetría resultan ser la base para el desarrollo del negocio, de manera que los principios asociados a la prestación de servicios presumiblemente serán aplicados con mayor amplitud en busca de la generación de garantías y preservación de la seguridad de la información y la protección de datos.

A medio plazo, la propuesta de revisión de la Directiva sobre Seguridad de las Redes y Sistemas de Información propone la utilización de los esquemas europeos de certificación de ciberseguridad, destacando que los Estados miembros podrán exigir a las entidades consideradas esenciales que certifiquen determinados productos, servicios, y procesos TIC con arreglo a regímenes de certificación de ciberseguridad europeos específicos, donde se define la necesidad de crear un Marco europeo de la certificación de la ciberseguridad a fin de confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados, con el objetivo de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados, o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

Algunas consideraciones al respecto podrían ser la articulación de un proceso de certificación en base a un código de buenas prácticas en las relaciones con terceros como forma de fortalecer el tejido empresarial y especialmente a las pequeñas y medianas empresas.

Entre los principales beneficios de un sistema de certificación caben mencionar la visibilidad de la responsabilidad y el deber de las empresas de analizar y evaluar los riesgos, controlar y supervisar a los terceros y determinar, conjuntamente, controles de los riesgos. Contar con un alto grado de aceptación en el tejido empresarial que permitiría la confianza de todas las partes interesadas en que el producto, proceso, y/o servicio cumpla con los requisitos especificados de ciberseguridad y privacidad.

“En el prisma de privacidad, el RGPD recoge el principio básico de la “responsabilidad proactiva” o “Accountability”, lo que conlleva que las empresas sean quienes determinen y evalúen cuáles van a ser las mejores medidas y puedan demostrarlo, así como que deban verificar periódicamente las medidas implantadas”