Iniciar sesión

Compartir
Compartir

La importancia de la gestión del ciberriesgo de los proveedores en la era NIS2

La aplicación de la Directiva NIS2 ha entrado plenamente en vigor y tendrá un gran impacto en la forma en que las empresas tendrán que gestionar el riesgo de los proveedores en los próximos años.

La directiva lleva gestándose desde 2016, cuando fue propuesta por primera vez por la vicepresidenta de la Comisión Europea Andrus Ansip y el Comisario para el Mercado Único Digital Mariya Gabriel durante un discurso en un acto organizado por la Comité Económico y Social Europeo (CESE). En su presentación, Ansip y Gabriel esbozaron su visión de una versión actualizada de la Directiva sobre seguridad de las redes de información (DSRI)que se había puesto en marcha en 2010, pero no fue especialmente eficaz porque carecía de un mecanismo de cumplimiento.

Repercusiones de la NIS2 en las pequeñas y medianas empresas

La Directiva NIS2 pretende mejorar la seguridad de los sistemas y redes de información de la UE.

Exige a las empresas que prestan servicios esenciales que apliquen un "sistema integral" de gestión de riesgos, que incluya:

  • Personas (empleados)
  • Activos físicos (ordenadores, servidores, etc.)
  • Sistemas y datos

También exige a todas las empresas que establezcan un proceso de gestión de riesgos de su cadena de suministro.

Esto significa que toda empresa que opere en la UE debe tener una estrategia clara para trabajar con terceros proveedores.

La Directiva se aplica a todas las empresas (incluidos los bancos) que utilizan productos o servicios de terceros en el marco de sus actividades cotidianas..

El ejemplo más común es la compra de sistemas informáticos a otra empresa, pero hay muchos más ejemplos. Además de ordenadores, también puede utilizar software o servicios en la nube proporcionados por otras empresas: cualquier cosa comprada directamente a ellos se clasifica como parte de su cadena de suministro a efectos de NIS2.

Las implicaciones serán de gran alcance para miles de organizaciones: se calcula que afectará a más de 30 millones de empresas en toda Europa.

NIS2 y gestión de proveedores

Además de esto, uno de los componentes clave de esta directiva es el énfasis en la gestión del riesgo cibernético con respecto a terceros proveedores.

Es importante entender lo que NIS2 entiende por "proveedor externo" y en qué se diferencia de otros tipos de relaciones comerciales.

El término "proveedor externo" se refiere a cualquier empresa de la que usted dependa para obtener bienes o servicios (excluidos subcontratistas o empleados)..

Por tanto, una empresa con la que trabajas es un "proveedor tercero" si le compras un producto o servicio.

Los proveedores son la causa de las agresiones

Según un reciente informe de Ponemon Institute, Deloitte y Shared Assessments Program, el 61% de todas las infracciones informáticas de los dos últimos años fueron causadas directamente por terceros proveedores.

En otras palabras, el los proveedores externos tienen más del doble de probabilidades de provocar filtraciones de datos que los usuarios internos. Además, estas infracciones suelen deberse a problemas de seguridad que se pasaron por alto durante una auditoría.

Según una encuesta de Forrester Consulting Inc. sólo el 27% de las organizaciones realizan evaluaciones de riesgo de los proveedoresi y casi la mitad (48%) no cuenta con un proceso formal de gestión de riesgos de terceros.

Esto significa que muchas empresas operan sin protección contra los ciberataques de sus proveedores, ¡o incluso sin ser conscientes de que podrían producirse!

Por este motivo, la directiva NIS2 hace especial hincapié en identificar y mitigar los riesgos asociados a estos proveedores.

Como en cualquier otro aspecto de la gestión de la cadena de suministro, es importante garantizar una gestión adecuada de terceros. A menudo, terceros prestan servicios cruciales como el almacenamiento, la logística y el transporte.

Como en cualquier otro aspecto de la gestión de la cadena de suministro, es importante garantizar una gestión adecuada de terceros. Esto se debe a que a menudo son terceros los que prestan servicios clave como el almacenamiento, la logística y el transporte.

Estos servicios pueden ser utilizados por una empresa para cumplir sus obligaciones en virtud de la Directiva NIS2, pero también pueden ser utilizados por ciberdelincuentes que deseen explotar las vulnerabilidades de su cadena de suministro o robar sus datos.

Por ello, la directiva NIS2 hace gran hincapié en la identificación y mitigación de los riesgos asociados a estos proveedores.

Cómo empezar a gestionar el ciberriesgo de los proveedores

Pero, ¿cómo pueden las empresas gestionar eficazmente el riesgo cibernético de sus proveedores?

Una solución es elutilización de una plataforma de gestión del riesgo de los proveedores.

En general, una plataforma de gestión del riesgo de los proveedores permite a las empresas establecer y aplicar requisitos políticos, llevar a cabo la diligencia debida con los proveedores, supervisar su cumplimiento de dichas políticas y normas, y proporcionar un único punto de rendición de cuentas para toda la información pertinente.

Por lo que respecta al riesgo cibernético específico, las empresas pueden utilizar la plataforma para evaluar y gestionar el riesgo cibernético de sus proveedores mediante la recopilación, el análisis y el intercambio seguro de datos procedentes de múltiples fuentes.

Esto permite visión holística de su cadena de suministro, incluida la identificación de vulnerabilidades en cada nivel.

Conclusiones

La Directiva NIS2 es un paso importante en la lucha contra la ciberdelincuencia y las violaciones de datos.

Aunque al principio pueda parecer abrumador, seguir unos sencillos pasos puede ayudar a su organización a mantenerse al corriente de sus obligaciones y mitigar futuros riesgos.

Al implantar una plataforma de gestión de riesgos de proveedores, las empresas no sólo pueden cumplir la directiva NIS2, sino también mejorar la seguridad general de su organización. Es una situación en la que todos salen ganando: cumplimiento de la normativa y mayor seguridad.

Puede empezar a evaluar hoy mismo el riesgo cibernético asociado a sus proveedores solicitando acceso gratuito a nuestra nueva solución: Portal de riesgos para proveedores de Cyberangels.

RECURSOS PARA USTED

Descargar la guía gratuita

En nuestra guía aprenderá cómo asegurar una pequeña o mediana empresa, desde el punto de vista informático, y cómo protegerse de los ataques en Internet.

Artículos relacionados

Poste Italiane e Cyberangels: Una Collaborazione per il Futuro Digitale dell’italia

El héroe contra el villano: cómo pueden evitar las PYME errores de ciberseguridad en el desarrollo de aplicaciones web

Esta es la historia de uno de nuestros clientes, una pequeña empresa de consultoría del sector farmacéutico, y de cómo se encontró con dificultades tras desarrollar una aplicación web para prestar servicios técnicos a sus clientes

La importancia de la gestión del ciberriesgo de los proveedores en la era NIS2

La aplicación de la Directiva NIS2 ya está en marcha, y tendrá un fuerte impacto en la forma en que las empresas gestionen el riesgo de los proveedores en los próximos años.

Su empresa finalmente protegida y segura.

Ofrecemos protección y seguros adaptados a su empresa y a su nivel de riesgo.
Registro gratis.

Póngase en contacto con nosotros para obtener más información