1 129 Table of Contents 131 148

Red Seguridad 107

130 red seguridad cuarto trimestre 2024 opinión Las estadísticas nos permiten captar una cierta instantánea sobre las tendencias, intereses y preocupaciones de las em- presas españolas en materia de riesgo de terceros, en particular, y sobre la ci- berseguridad, en general. Tengo tendencia a llevarme al terreno de mis intereses aquello que voy encon- trando, como el zapatero que conoce a la gente por sus zapatos o el pastelero que solo ve merengues en las formas de las nubes. Así, el otro día, viendo la serie “Yellowstone”, en una escena, un hijo le pregunta a su padre: “–¿Confías en ellos? –Yo no confío en nadie. La confianza ha de ganarse.” Así de sencillo. Y claro, yo me lo traje a la ciberseguridad. Porque podemos hablar de zero trust , de sistemas y tec- nologías para conocer el estado de la seguridad de aquellos con los que te relacionas o de cuestionarios y norma- tivas hasta que se nos gaste el aliento. Sin embargo, en última instancia, la pre- gunta que queda es que si un prójimo, un socio o un proveedor, no demuestra cómo es de seguro, ¿podemos confiar en él? Y si confiamos, ¿en base a qué? En ese sentido, este año publicamos el V Estudio Empresa y Ciberseguridad de Leet Security, y estudiando la evolución estadística se constata un creciente y sostenido aumento en la preocupación sobre la ciberseguridad, en general, y de terceros en particular, donde actualmente más del 90 por ciento de los encuestados declaran estar muy preocupados por ella. Refuerzo normativo Y sobre esto, un detalle importante re- lacionado con el actual contexto nor- mativo: los niveles de interés de la Alta Dirección también han aumentado sig- nificativamente, alcanzando un 80,2 por ciento respecto a los Consejos de Ad- ministración y un 88,3 por ciento de la Dirección General. Esto está relacionado en gran medida con el incremento de la responsabilidad de estos órganos cor- porativos en materia de ciberseguridad que traen las nuevas normas europeas (Reglamento DORA y Directiva NIS2). Como sabes, ambas normas coinci- den en la necesidad de mejorar los ni- veles de protección y respuesta de las infraestructuras tecnológicas que dan soporte a servicios esenciales para el funcionamiento de la sociedad (como los servicios financieros) y, concreta- mente, en dos aspectos en especial: La responsabilidad ( Accountability ) de la Alta Dirección de las organizaciones en la definición, aprobación, asigna- ción de recursos y supervisión de un programa de seguridad adecuado a la criticidad de los servicios prestados. La obligación de establecer mecanis- mos de gestión de riesgos cíber de la cadena de suministro para asegurar que las terceras, cuartas y sucesivas partes implicadas en la provisión del servicio también implementen medi- das de seguridad que eludan el riesgo de poder prestar dicho servicio. Por tanto, es lógico pensar que, ante tanta precaución, preocupación y refuerzo ¡Ah, el proveedor! Reflexión sobre la ciberseguridad de terceros J osé S. G utiérrez Responsable de Comunicación y Marketing de la Agencia de Calificación de la ciberseguridad de Leet Security Implantar programas de gestión de riesgos de terceros no es trivial

RkJQdWJsaXNoZXIy MTI4MzQz