Si aplicamos este principio a la seguridad digital, es patente que la empresa que contrata a un tercero tiene que ser capaz de valorar, primero, el riesgo que conlleva esa externalización y, segundo, la seguridad, tanto la inicialmente diseñada como la realmente implementada, por el proveedor del servicio. Es más, desde el punto de vista de la seguridad digital, los requisitos son idénticos o, incluso, mayores a los que se implementan internamente.

En otras palabras, el riesgo que introduce la externalización de un servicio tiene que estar en sintonía con el apetito al riesgo de la compañía que lo adquiere.

Aspectos tan clave como la gobernanza aplicada con estos terceros proveedores de servicios, la sincronización de sus planes de continuidad de negocio con los de la empresa que utiliza esos servicios, la posibilidad real de auditar dicho servicio y cualquier otra subcontratación que se produzca, así como la necesidad de establecer un plan realizable y realista de salida de tal externalización no pueden olvidarse hoy en día en ninguna industria que funcione con servicios aportados por terceras partes.

Finalmente, para aquellos lectores interesados en los detalles de este tema tan actual, el consejo será estudiar las directrices sobre ¨outsourcing¨ publicadas este 2019 por la Autoridad Europea Bancaria (EBA), tan aplicables en la industria financiera como el cualquier otra industria con necesidad de gestionar sus niveles de riesgo de forma eficiente.