Riesgos asociados con terceros. Las organizaciones con mayor cultura llevan aƱos intentando gestionar del modo mĆ”s eficiente posible los riesgos empresariales originados por vulneraciones o explotaciĆ³n de agujeros en la ciberseguridad de terceros proveedores integrantes de sus redes de suministro, que a su vez provocan riesgos de distinta naturaleza y en cascada en clientes y en organizaciones de las que tambiĆ©n el cabeza de cadena de provisiĆ³n puede ser proveedor.
Este tipo de macro riesgo, de materializarse los ciberataques y ser exitosos, tiene impactos mĆŗltiples en el espacio y en el tiempo, sobre la economĆa y la sociedad. Su carĆ”cter sistĆ©mico hace que, en el contexto, las amenazas (cibernĆ©ticas, ciber fĆsicas y fĆsicas) se enmaraƱen y den como resultado un escenario muy difĆcil de controlar.
A este hecho se une la mala posiciĆ³n de ciberseguridad de la mayorĆa de las pymes en las economĆas de los paĆses, no ya solo por cultura y medios econĆ³micos y materiales, sino tambiĆ©n por estar mal atendidas por la oferta de servicios, prestados por fabricantes y por proveedores, que presionados por los requisitos de resultados (la ciberseguridad se vende) no han tenido la necesidad de diseƱar ni comercializar servicios gestionados de calidad y precio a medida de los distintos tipos y tamaƱos de pymes.
Es ahora, con motivo de la presiĆ³n regulatoria y la obligaciĆ³n de prestar atenciĆ³n a la ciberseguridad de las cadenas de suministro, tras notables ejemplos de ciberataques, cuando los proveedores empiezan a ponerse las pilas.
Y los estados y gobiernos tambiĆ©n, tras aƱos de dedicar dinero de los contribuyentes a acciones de la mĆ”s variada Ćndole y de resultados inmedibles.
AsĆ pues, instauradas ya las ciberamenazas a las cadenas de suministro y a terceros de todo tipo, ejecutados algunos ciberataques para la galerĆa y con distintas legislaciones de ciberseguridad, seguridad y resiliencia operativa del sector financiero (sin trasponer o sin estar en disposiciĆ³n todavĆa de ser aplicadas en plenitud), nos encontramos hoy un RGPD plenamente vigente y la dificultad aƱadida para las compaƱĆas aseguradoras, de poder valorar riesgos y empujar un mercado de ciberpĆ³lizas en el que los que ofrecen y los que contratan sepan realmente lo que estĆ”n haciendo.
Precisamente en esta ediciĆ³n de SIC se dedican unas pĆ”ginas especiales a la ciberseguridad en las redes de suministro. Y se hace con un enfoque multidisciplinar, en el que tienen cabida todos los actores involucrados, excepciĆ³n hecha de los atacantes, a quienes desgraciadamente hay que tener muy en cuenta.
Espacio TiSEC: seguridad digital en ecosistemas de subcontrataciĆ³n. El carĆ”cter sistĆ©mico de los riesgos a los que nos referimos ha llevado a esta publicaciĆ³n a dedicar la segunda ediciĆ³n de Espacio TiSec del aƱo (18 y 19 de junio, presencial y en streaming) precisamente a tratar este asunto, de la mano de notables especialistas de organismos supervisores y del sector privado que atesoran un conocimiento en la gestiĆ³n de riesgos tecnolĆ³gicos, riesgos de ciberseguridad, riesgos de negocio y riesgos de incumplimiento. A ellos se suman especialistas del sector de seguro y mediaciĆ³n, cuyo concurso para cubrir algunos daƱos causados por ciberataques en insustituible y necesario. Se juntarĆ”n en el programa CISOs y especialistas en gestiĆ³n de ciberseguridad en las empresas, cuyo papel se estĆ” viendo reforzado por las normas y las requisitorias de buen gobierno. Y tambiĆ©n su nivel de estrĆ©s, al compartir con sus altas direcciones y consejos responsabilidades en la mejora efectiva de las posiciones de ciberseguridad de sus organizaciones. El programa del evento estĆ” disponible en www.revistasic.com.
Plan Nacional de Ciberseguridad 2022. El Gobierno de EspaƱa ha aprobado un conjunto de actuaciones de ciberseguridad y ciberdefensa āpara completar las medidas incluidas en el Plan Nacional de Ciberseguridad 2022ā que contarĆ”n con una inversiĆ³n de 1.157 millones de euros. Las actuaciones se enmarcan en el Plan Industrial y TecnolĆ³gico para la Seguridad y la Defensa.
Las entidades que recibirĆ”n estos fondos adicionales, son (por orden de cuantĆa): El ministerio de Defensa (CNI CCN, CESTIC y MCCE), El ministerio para la TransformaciĆ³n Digital y de la FunciĆ³n PĆŗblica (Agencia Estatal de AdministraciĆ³n Digital, SETID-Red.es-Incibe), ministerio del Interior y Departamento de Seguridad Nacional. La aprobaciĆ³n de liberar estos fondos adicionales viene en gran parte motivada por las circunstancias geopolĆticas y las demandas de mayor inversiĆ³n en defensa, y, al tiempo, por el fortalecimiento de la (ciber)Seguridad Nacional, la (ciber)Defensa y la lucha contra la (ciber)delincuencia.
La aplicaciĆ³n de estos fondos a las organizaciones y entidades mencionadas, y su alcance a los proveedores de mercado, por ahora, son materia reservada.
