redseguridad 082

red seguridad tercer trimestre 2018 59 En segundo lugar se indica que la causa ha estado en un error en los proveedores de la entidad. Esta cir- cunstancia es precisamente en la que queremos poner nuestro granito de arena con este artículo, ya que al igual que en el caso de la concienciación del personal, a una pequeña empresa le suele resultar mucho más complejo que a una grande disponer de un mecanismo para la gestión del riesgo en su cadena de suministro (más conocido en inglés como Vendor Risk Management o VRM). Sin embargo, para una pyme puede ser mucho más doloroso que para una gran empresa sufrir una pérdida de información que sea vital para su negocio (aunque en el último caso resulte mucho más sonado). En este sentido, la pérdida de datos relacionados con clientes es la primera de las preocupaciones en cuanto a la pérdida de información, según se muestra en el gráfico 2 del estudio realizado por Leet Security. Cabe destacar la gran diferencia en lo referente a la preocupación por la pérdida de propiedad intelectual, que entre las empresas americanas se sitúa en segundo lugar, siendo fuente de preocupación para casi el 50 por ciento de los casos. El problema de externalizar Volviendo a los errores en terce- ras partes como una de las causas principales de incidentes y fugas de información, podemos decir que esta circunstancia es la lógica consecuen- cia de los procesos de externaliza- ción, que por razones de compe- titividad, especialización o de otra índole, resulta creciente en todas las entidades y tipos de actividad. Con el tiempo, la dependencia de los pro- veedores ha aumentado, y por tanto, la posibilidad de que los riesgos del cliente sean expuestos por el provee- dor también aumenta. En el caso de las pymes, la exter- nalización es con frecuencia la única posibilidad, ya que resulta imposible disponer de los recursos y del personal con la especialización y conocimientos necesarios para desarrollar una gran parte de las funciones asociadas a la gestión diaria del negocio. Así, lo primero que se viene a la mente son servicios de infraestructuras o platafor- mas y aplicaciones en las que la pyme deposita sus activos más preciados (clientes), muchas veces sin que el proveedor le proporcione las suficien- tes garantías de que dispone de todas las medidas de seguridad adecuadas para la custodia y tratamiento de tan valiosa información. Por las mismas razones que una pyme no dispone de los recursos necesarios para llevar a cabo por sí misma las actividades de carác- ter, digamos, tecnológico, y debe externalizarlas. Tampoco cuenta con herramientas ni conocimientos para llevar a cabo por sí misma la evalua- ción del nivel de seguridad de sus proveedores; básicamente tiene que confiar en el buen hacer de estos. Cualificación de ciberseguridad No obstante, y dada su relevancia como causa de potenciales brechas de seguridad, queremos llamar la atención sobre un sencillo mecanis- mo que facilita algunas de las fases clave de la gestión de riesgos: el esta- blecimiento de criterios de seguridad para la contratación de los proveedo- res adecuados a la importancia para el propio negocio de la información que van a gestionar en sus servicios y la supervisión de los mismos. Evidentemente, nos referimos a la Calificación de Seguridad. Ofrecer diferentes niveles permite definir cuál opinión pymes monográfico Gráfico 1.