El pasado miércoles 29 de mayo leíamos en prensa una nueva noticia en la que se informaba acerca de un ciberataque a otra gran empresa española, lo que a los ojos de cada vez más lectores, parece haberse convertido en algo normal.
Esta afirmación puede considerarse -en parte- cierta, ya que el histórico más reciente de noticias similares nos puede llevar a concluir que la amenaza de los ciberataques forma parte de esta nueva realidad a las que nos ha llevado el nivel de digitalización actual de las empresas españolas.
Lógicamente, un escenario de ciberriesgo ha llevado al legislador a contemplar, en Europa y también en España, especialmente desde el primer Real Decreto de regulación del Esquema Nacional de Seguridad de 2010, o de la primera ley de protección de las infraestructuras críticas, de 2011, la necesidad de gestionar de manera eficiente los riesgos de la ciberseguridad de la cadena de suministro.
Y es que, como es sabido, los ciberdelincuentes tienen claro que sus probabilidades de éxito aumentan notablemente si el ataque a una empresa se dirige hacia aquellos terceros que, en su condición de proveedores de productos o servicios, pueden tener acceso a los sistemas de la entidad objetivo, en lugar de tratar de vulnerar directamente unas redes y sistemas informáticos cada vez más protegidos y custodiados por medidas de seguridad -supuestamente- numerosos y técnicamente avanzados.
Así las cosas, sabiendo que los ciberataques se dirigen hacia el eslabón más débil de la cadena de la seguridad corporativa, no es de extrañar que la regulación incorpore obligaciones de ciberseguridad concretas para las empresas, a las que, ante la imposibilidad de lograr que esos pequeños proveedores garanticen un nivel de resiliencia equivalente al de su cliente, exige a éste, dentro de su obligación de diligencia debida, a implementar medidas de supervisión y control del nivel de seguridad y de cumplimiento de su cadena de suministro.
Es más, para asegurarse de que ello sea así en la práctica empresarial, la reciente normativa en ciberseguridad eleva esta responsabilidad de control al propio órgano de gobierno de la entidad, confirmando que la gestión de la seguridad de los activos y la información de la empresa es una cuestión que excede el aspecto técnico y se extiende a cuestiones de gestión empresarial e -incluso- de buen gobierno corporativo.
Como muestra de lo anterior, encontramos obligaciones de tal calado en cada vez más regulación, como pueden ser el Reglamento General de Protección de Datos y la Directiva NIS, por citar sólo algunas.
Así, el artículo 28 del RGPD comienza diciendo que “cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.
Y el artículo 21 de la Directiva NIS2 se refiere a las medidas de gestión de la ciberseguridad incluyendo “la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos”.
Llegados a este punto, debemos preguntarnos si es posible garantizar un nivel suficientemente efectivo de cadenas de suministro cada vez más extensas.
La práctica nos enseña que los procesos de supervisión en las grandes empresas son, por lo general, muy exigentes. Del mismo modo que no suelen distinguir la realidad de los proveedores a los que aplica, a los que somete a unos procesos de homologación que, en ocasiones, no pueden cumplir, con el consecuente impacto en la competitividad.
Mientras que, desde el punto de vista de la empresa, esta ha desarrollado largos cuestionarios que remite a los proveedores para que respondan y aporten la documentación y otras evidencias que acrediten el cumplimiento de lo requerido por el cliente. Sin embargo, en no pocas ocasiones las empresas reciben tal cantidad de documentación a revisar que -directamente- no es posible verificarla por ausencia de recursos capacitados para desarrollar tal labor de manera adecuada. Eso, en el fondo, lleva a las empresas a un cumplimiento formal de su obligación de control, pero a un incumplimiento efectivo.
Algunas consultoras Regtech ya han desarrollado soluciones válidas e innovadoras para poder dar solución a tal cuestión, y ofrecen herramientas y metodologías de Third Party Compliance que, gracias -en particular- a la acertada aplicación práctica de la inteligencia artificial, está permitiendo a las empresas a dar cumplimiento de estas complejas obligaciones de supervisión real y efectiva del nivel de cumplimiento de los proveedores.
Esto, sin duda, está llamado a convertirse en tendencia para este tipo de entidades, que, aunque convencidas de la necesidad de cumplimiento de control de la cadena de suministro, la inversión de recursos para ello resulta demasiado elevada si se hace sin implementar soluciones tecnológicas innovadoras.