Page 30 - CPOmagazine22

P. 30

Reportaje

Gianluca D’Antonio Hoy en día, la homologación de proveedores, en cuestión de ciberseguridad, es

una tarea fundamental para las empresas debido a la cantidad de riesgos que

Socio de Risk Advisory de Deloitte pueden traspasarse de unas a otras. En esta entrevista con Gianluca D’Antonio,
socio de Risk Advisory de Deloitte, hablamos de este asunto y de la necesidad de
introducir siempre estándares y certificaciones de terceros con los proveedores,
o en los procesos de licitación con ellos, en relación a los sistemas de gestión
de la seguridad de la información que se van a utilizar. Si las empresas quieren
minimizar al máximo sus riesgos cibernéticos, deberán definir muy bien durante
el proceso de contratación de los servicios, qué aspectos técnicos y organizativo

debe cumplir el proveedor.

PO Magazine: En general ¿cree que so- G. D’A.: Introduciendo requisitos mínimos de
mos conscientes del potencial daño que seguridad para sus sistemas de información y los
la deficiente ciberseguridad de nuestros entornos OT y también para sus proveedores. En los
Cproveedores puede causar a nuestro procesos de selección de proveedores, así como en
negocio? las licitaciones, hay que establecer de forma clara y
transparente qué controles de ciberseguridad deben
Gianluca D’Antonio. En general no estamos familiari- ser implantados. Los proveedores deben certificar
zados con las dependencias que tenemos de la cadena de sus sistemas de gestión de la seguridad de la infor-
suministros. Y esto incluye también los riesgos derivados mación.
y que heredamos de las deficiencias de nuestros provee-
dores. Muchos ciberataques aprovechan vulnerabilida- “Muchos ciberataques
des en los sistemas de los proveedores para penetrar en aprovechan vulnerabilidades en
los sistemas de la empresa finalista.
los sistemas de los proveedores
C.M.: ¿Cómo seleccionar a proveedores de me- para penetrar en los sistemas de
nos riesgo? la empresa finalista”

G. D’A.: Hay que introducir estándares y certificaciones
de terceras partes que puedan fortalecer la gestión de los C.M.: ¿Cómo gestiona el proveedor de la nube
riesgos en los proveedores, incluyendo también la ciber- los riesgos de seguridad de las redes y las
seguridad como uno de los objetivos de control. Un pro- comunicaciones relacionados con el servicio
veedor, que por su operativa tiene acceso a los sistemas de la nube?
de un cliente, tiene que asegurar los más altos estándares
de seguridad para mitigar el riesgo que sus operaciones G. D’A.: Tiene que gestionarlos de forma trasparente
pueden generar en los sistemas de su cliente. y diligente. Los proveedores de la nube deben acredi-
tar sus sistemas de gestión y comunicar a los clientes
C.M.: ¿Cómo seleccionar las áreas en las que el todos los aspectos relevantes de la gestión de riesgos
impacto de la ciberseguridad de nuestros provee- que le puedan afectar.
dores es más relevante?
C.M.: ¿Ha de confiar el proveedor en las plata-
G. D’A.: Es aconsejable llevar a cabo un análisis de formas o software de terceros?
riesgos para determinar el grado de exposición de los
activos y su impacto en la continuidad del negocio en la G. D’A.: La confianza debe basarse en indicadores
eventualidad de un incidente. de calidad que puedan ser auditados y/o verificados
por terceros especializados en ciberseguridad. Es
C.M.: ¿Cómo ayudar a los proveedores a que aconsejable verificar las capacidades de la platafor-
reduzcan el riesgo? ma o del software frente a los riesgos cibernéticos.

...
30 CM 31

25 26 27 28 29 30 31 32 33 34 35