Cinco consideraciones sobre la privacidad y seguridad de los proveedores de servicios

Nunca ha sido más crítico tener claro con quién y cómo se comparten los datos

Comprender con quién se comparten los datos y cómo serán utilizados y protegidos nunca ha sido más crítico. La privacidad y seguridad continúan siendo una prioridad máxima para los reguladores de todo el mundo, por lo que se aconseja a las organizaciones mantenerse al día y adoptar las medidas adecuadas para su protección. Existe una conciencia creciente de que el eslabón más débil puede estar en los proveedores (o vendedores) de servicios que tienen acceso al entorno de las organizaciones y que pueden estar recogiendo, procesando y almacenando, en nombre de estas, información personal protegida. Debido a la COVID-19 y otras tendencias macroeconómicas, el número de proveedores de servicios utilizados por las organizaciones continúa creciendo. A continuación, presentamos algunas consideraciones esenciales a la hora de valorar la privacidad y seguridad de sus proveedores de servicios.

Los riesgos para la privacidad y la seguridad constituyen una preocupación creciente en el programa de gestión de los proveedores de servicios de las organizaciones

Los aspectos relativos a la privacidad y la seguridad se consideran una prioridad máxima en el programa de gestión de riesgos derivados de los proveedores de servicios en las organizaciones. Según el Informe de Kroll sobre Fraudes y Riesgos Globales publicado en 2019/20, el 73% de los ejecutivos identifica los daños reputacionales provocados por terceros como un riesgo prioritario, y casi el 30% afirma que los incidentes de terceros afectaron significativamente a su organización en el último año.¹

Los responsables de regular la privacidad exigen cada vez más acciones por parte de las empresas en relación con sus proveedores de servicios. Tanto el Reglamento General de Protección de Datos (RGPD) como la Ley de Privacidad de los Consumidores de California (CCPA) y la posterior Ley del Derecho a la Privacidad de California (CPRA) establecen claramente que toda organización es plenamente responsable de los proveedores de servicios que operan dentro de sus cadenas de suministro y que, por tanto, corresponde a la organización garantizar el cumplimiento normativo. Muchas empresas no valoran la importancia de este mandato y han adoptado muy pocas medidas (si es que han adoptado alguna) para garantizar su cumplimiento y minimizar este riesgo.

Son muchas las normas que obligan a abordar la cuestión de la seguridad cibernética de los proveedores de servicios

Los responsables de establecer las normas sobre ciberseguridad, como el Departamento de Servicios Financieros del Estado de Nueva York, la SEC, la CFTC y la HIPAA, exigen específicamente a las organizaciones que cuenten con un programa que obligue a los proveedores de servicios a satisfacer controles de seguridad específicos. Este desafío, que aumenta exponencialmente para los proveedores de servicios que tienen acceso a información personal protegida bajo el control de una organización, exige determinado nivel de experiencia y conocimientos que va más allá de lo que muchos departamentos informáticos internos son capaces de gestionar. Identificar, validar y analizar la posición de los proveedores en materia de ciberseguridad ha dejado de ser un lujo para convertirse en una necesidad.

Las normas sobre privacidad también están haciendo sonar las alarmas

No puede existir un programa de privacidad eficaz sin seguridad de la información. Aunque muchas normas sobre privacidad no exigen controles técnicos de seguridad específicos, sí demandan que las organizaciones implementen y mantengan medidas de seguridad “razonables” que protejan contra los riesgos previsibles y garanticen que los proveedores de servicios que gestionan información personal protegida también las cumplen. Muchos estados de EEUU y países de todo el mundo han comenzado a considerar la posibilidad de aprobar normas como el RGPD y la CCPA y adoptar un lenguaje similar, haciendo así más necesario que las organizaciones actúen.

El fracaso tiene un coste real y es caro

Las multas por infringir las normas relativas a la privacidad están aumentando. En un periodo de 12 meses, los reguladores europeos han impuesto más de 190 millones de dólares en multas a empresas que han infringido el RGPD.² Algunas de estas multas han derivado, en parte, del incumplimiento por parte del proveedor de servicios. Tal fue el caso de Ticketmaster, que permitió que una aplicación de terceros accediera a datos protegidos.³

La relación anterior no es exhaustiva, pero constituye un buen punto de partida. Las organizaciones harán bien en realizar una evaluación profunda exhaustiva de los riesgos planteados por los proveedores de servicios a fin de identificarlos y clasificarlos en función de los riesgos de seguridad y privacidad que plantean a la organización, y en adoptar medidas reales y concretas para minimizar estos riesgos. Según nuestras previsiones, el interés normativo por la privacidad y la seguridad de la información no se va a reducir en el próximo futuro, por lo que los cambios que afecten organizaciones no harán otra cosa que aumentar.

Fuentes
¹https://www.kroll.com/en/insights/publications/global-fraud-and-risk-report-2019
²https://www.bankinfosecurity.com/privacy-fines-total-gdpr-sanctions-reach-331-million-a-15790
³https://www.forbes.com/sites/carlypage/2020/11/13/ticketmaster-hit-with-125-million-gdpr-fine-over-2018-data-breach/?sh=181caf124455