ciberataque a repsol

¿Están al día tus proveedores con el cumplimiento normativo en Ciberseguridad?

Repsol expone información de clientes a través de una brecha de seguridad de uno de sus proveedores

 

Podemos decir que prácticamente todas las relaciones comerciales y las actividades empresariales se realizan a través de
un sistema de información y conllevan intercambio de datos, ya sea con proveedores de servicios o con clientes.
 

Por ejemplo, contratos que se comparten a través del correo electrónico, datos que se almacenan en servidores
empresariales, datos privados utilizados en firmas digitales o accesos a páginas web.
 

El pasado 10 de septiembre, Repsol sufrió un ciberataque a la base de datos de sus clientes, específicamente de electricidad
y servicio de gas en España. La empresa notificó a los afectados a través de un correo electrónico este suceso, que ha generado mucha polémica, ya que el incidente no se ha desarrollado de manera directa en los servidores de Repsol, sino a través de uno de sus proveedores.

A pesar de que Repsol no ha revelado más datos sobre el proveedor que ha causado esta brecha de seguridad, el incidente pone de manifiesto la importancia y necesidad que tienen las empresas de, no solo asegurar ciberseguridad dentro de su organización, sino de asegurar que las relaciones comerciales con proveedores y clientes cuenten con buenas prácticas y el cumplimiento normativo vigente en materia de ciberseguridad.

 

Brechas de seguridad a través de terceros 

De esta manera, es esencial que empresas y administraciones cuiden sus sistemas informáticos, pero también es necesario poner
el punto de atención en conocer cuáles son los procesos de ciberseguridad que tienen sus proveedores y clientes y asegurar que sus prácticas están dentro de la normativa.
 

Como organización es necesario adoptar todas las medidas técnicas adecuadas para gestionar los posibles riesgos que se puedan plantear para la seguridad de las redes y sistemas de información propias, pero resulta imprescindible exigir lo propio a proveedores y clientes que puedan suponernos un riesgo. 

Es decir, se trata de ir más allá de cuidar y proteger la información propia con los más altos estándares de ciberseguridad,
si no ser agente activo en conocer dónde están nuestros datos, cómo se protegen, qué alcance tiene su uso y qué acceso a la información se le otorga a cada proveedor.
 

Ser conscientes de parámetros como: qué se hace o cómo se gestiona un posible incidente, si se realizan supervisiones y
auditorías periódicas, si se cumple el marco normativo vigente o si se mantiene seguridad en los sistemas y en las instalaciones puede evitar la fuga o vulnerabilidad de la información o los accesos a nuestra organización a través de brechas de seguridad de terceros.

Principales puntos a valorar 

Así pues, podemos establecer varios puntos a tener en cuenta antes de iniciar una relación comercial con proveedores,
especialmente si nos tomamos en serio la seguridad informática en nuestra organización:
 

·        Procesos de concienciación: Asegurarse que el proveedor es consciente de la importancia de mantener una política de ciberseguridad en su organización, especialmente con su personal, como puerta de acceso principal para los ciberdelincuentes. Sería ideal poder realizar talleres de concienciación con su equipo de trabajo. 

·        Sistemas informáticos
protegidos:
Cerciorarse si el proveedor realizar auditorías y supervisión periódica del estado de sus sistemas y redes, así como
asegurarse si cuenta con protección, ya sea a través del uso de firewall o con sistemas complejos de seguridad.
 

·        Realiza pruebas: Corrobora que el proceso que tiene el proveedor es eficaz y cuenta con procesos reforzados. Es decir, ¿está preparado para afrontar posibles ataque a sus sistemas? 

·        Directiva NIS2: La directiva exige que las organizaciones evalúen y gestionen los riesgos en su cadena de suministro y relaciones con terceros, asegurando que los proveedores también cumplan con altos estándares de seguridad. Comprueba si el proveedor cumple con los requisitos exigidos en la directiva NIS2, lo que supone proteger tus sistemas de información, anticipar ataques y garantizar la seguridad continua de tus servicios. 

 Cumplimiento de la Directiva NIS 2 

La directiva NIS 2 fue diseñada en 2016 para reforzar los procesos en ciberseguridad y marcar directrices concretas que mejorasen
la resistencia en las redes y los sistemas de todos los estados miembros de la Unión Europea.

Hoy en día y tras el aumento en el número y en la fuerza de los ciberataques que se producen, se ha puesto de manifiesto la necesidad de una normativa más estricta y exhaustiva dirigida a la forma en la que las organizaciones abordan el cumplimiento de la ciberseguridad. 

NIS2 establece requisitos más estrictos para que las organizaciones integren prácticas de ciberseguridad avanzadas, como son procesos completos en la gestión de riesgos de seguridad, implementar políticas de seguridad, formación para el personal, evaluación y controles técnicos y organizativos y la notificación de incidentes en una gama más amplia de sectores críticos y servicios esenciales.

La Directiva NIS 2 busca asegurar la integridad, disponibilidad y confidencialidad de los servicios esenciales y la infraestructura crítica que sustenta la economía y la sociedad europeas.

Las organizaciones (aquellas que cuenten con entre 50 y 250 empleados y que tengan un volumen de negocios anual no superior a 50 millones de euros o un balance general anual que no excede los 43 millones de euros, así como aquellas con más de 250 empleados y cuyo volumen de negocios anual o balance general anual supera los 43 millones de euros) tendrán hasta el 16 de octubre de 2024 para disponer de la Directiva NIS 2 y asegurar su plena implantación.

 

Comments are closed.