Roberto Heker, Director de NextVision.

María Santillán, Abogada Consultora Legal IT de NextVision.

Las organizaciones comienzan a tomar conciencia del riesgo derivado de su vinculación con terceras partes, resultante de la contratación de servicios digitales o tecnológicos. Incluso, muchas veces este riesgo proviene de cuartas partes con las que no se realiza un acuerdo directo pero sus propias vulnerabilidades pueden ocasionar un impacto en nuestra compañía. Esta preocupación ha llegado también a los estándares como ISO, COBIT, NIST, PCI o regulaciones como RGPD, NIS, LPICE. De hecho, tales marcos normativos nos llevan a realizar auditorías o assessments de terceras partes con el objetivo de evaluar su nivel de cumplimiento de las normativas aplicables. 

Según un estudio realizado en el año 2020 por Association of Privacy Professionals (IAPP) el assessment más habitual en relación al Riesgo de Privacidad de las organizaciones es el realizado a terceras partes, alcanzando un 63% a nivel mundial. Asimismo, en Europa+UK lo realizan el 52% de las organizaciones. En el presente artículo detallaremos cómo se regula el riesgo de terceras partes en algunas de las regulaciones más relevantes como RGPD, NIS y Ley PIC:

1. Reglamento General de Protección de Datos (RGPD):

El Art 28 y Considerando 81 del RGPD, son claros en indicar que el responsable de tratamiento de datos personales debe elegir encargados que ofrezcan garantías suficientes, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD. Por otro lado, las “Directrices para la elaboración de contratos entre responsables y encargados de tratamiento” elaboradas por la AEPD, APDCAT y AVPD señalan que el RGPD impone al responsable un deber de diligencia en la elección del encargado, debiendo elegir únicamente encargados que cumplan con el RGPD, esta actuación diligente no puede limitarse a una evaluación de cumplimiento, sino que además se debe demostrar y acreditar.

La Decisión de Ejecución (UE) 2021/914de la Comisión relativa a las Cláusulas Contractuales Tipo para la Transferencia de datos personales a terceros países establece que a la hora de determinar un nivel adecuado de seguridad, tanto el responsable como el encargado tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y sus riesgos.  Asimismo, según el artículo 9 Módulo 2.a) cuando el encargado importador de datos recurra a un subencargado, lo debe hacer por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado importador.

2. Trasposición Española de la Directiva NIS:

El Real Decreto 43/2021de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre de transposición de NIS nos dice en su artículo 6 que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados, tanto si se trata de redes y sistemas propios, como de proveedores externos. En el caso de los operadores de servicios esenciales, deberán aprobar unas políticas de seguridad de las redes y sistemas de información, dichas políticas considerarán, como mínimo, la gestión de riesgos de terceros o proveedores, entre otros puntos.

3. Ley de Protección de las Infraestructuras Críticas (Ley PIC):

La Ley PIC crea el Sistema de Planificación PIC, según el cual los Operadores Críticos deben presentar un PSO (Plan de Seguridad del Operador) y un PPE (Plan de Protección Específico). 

LaResolución de 15 de noviembre de 2011,de la Secretaría de Estado de Seguridad establece los Contenidos Mínimos de los PSO y PPE, la misma en su ANEXO I artículo 3.4 subraya que el Operador Crítico debe realizar una descripción de las interdependencias a las que recurre, dentro de las cuales encontramos la interdependencia con proveedores dentro de la cadena de suministros,  que debe ser considerada en el análisis de riesgo. Asimismo la Guía de Buenas Prácticas para la elaboración de PSO, para mayor claridad profundiza el artículo mencionando además las interdependencias con los proveedores de servicios TIC contratados, tales como: proveedor(es) de telecomunicaciones, Centros de Proceso de Datos, servicios de seguridad y cualesquiera otros que se considere, especificando para cada uno de ellos el nombre del proveedor, los servicios contratados, acuerdos de nivel de servicio (SLA) y cumplimiento del servicio provisto con la política general de seguridad del Operador.

La creciente importancia del ciberriesgo vinculado a terceras partes en las regulaciones indica que ya no puede omitirse su ponderación. El riesgo de terceras partes no es un tema de compliance únicamente, su proceso de mitigación no puede limitarse a la introducción de cláusulas contractuales, sino que además resulta menester gestionarlo adecuadamente. Lo que puede ser verdad hoy puede no serlo mañana, y los reguladores actúan penalizando a aquellas compañías que no tienen una gestión de riesgo efectiva. En este punto vemos que el 70% de las compañías aún carecen de un Programa de Gestión de Riesgo de Terceras Partes. El escenario requiere monitorizar de forma continua su postura de ciberseguridad tanto de la organización como de sus partners.

La implementación de plataformas como SecurityScorecard permite ver la postura de ciberseguridad e incluso ver los hallazgos que puedan afectar el cumplimiento de distintas regulaciones. Monitorizando, por un lado, y enviando desde la plataforma cuestionarios se logra una perspectiva completa e indispensable para cumplir con las regulaciones y sobre todo visualizar toda nuestra superficie de ataque.