Seguridad en la cadena de suministro: un enfoque según el DSGVO


No hace mucho tiempo, las empresas se apresuraron a contratar a sus procesadores para …

cumplir con los requisitos del Reglamento General de Protección de Datos (DSGVO) para el nombramiento de procesadores. A menudo ha sido difícil para las compañías cuidar adecuadamente a sus proveedores, y a menudo se han pasado por alto ciertos requisitos de seguridad para protegerse contra los riesgos cibernéticos.

Los requisitos clave que deben cumplir los controladores (la mayoría de los clientes) para gestionar los riesgos cibernéticos con sus procesadores (la mayoría de los proveedores) son:

  • Utilice únicamente procesadores que ofrezcan garantías adecuadas a las medidas técnicas y organizativas adecuadas para que el procesamiento cumpla con los requisitos del RGPD y garantice la protección de los derechos del interesado. y
  • para concluir un contrato con el procesador para exigir que el procesador tome todas las medidas requeridas por el Artículo 32 del RGPD, que establece los estándares requeridos para la seguridad del procesamiento. El procesador también debe ayudar al controlador a garantizar el cumplimiento de sus obligaciones con respecto a la seguridad del procesamiento teniendo en cuenta la naturaleza del procesamiento y la información disponible para el procesador.

Requisitos de seguridad, ¿no es eso suficiente?

El punto es: aunque el GDPR establece requisitos de seguridad, medidas técnicas y organizativas apropiadas, no son muy prescriptivos. El texto es inherentemente legalista, y las empresas a menudo se preguntan cómo aplicar los requisitos.

Si bien un fabricante puede tener que cumplir con los requisitos legales, la opinión del procesador sobre qué medidas de seguridad técnicas y organizativas son apropiadas puede diferir de las propias opiniones del controlador. Cuando los procesadores realizan actividades de procesamiento que se producen en masa, es posible que no tengan un conocimiento suficiente de los datos personales y de cómo los utiliza el controlador para evaluar adecuadamente los riesgos.

Sin embargo, si un procesador acepta cumplir con los estándares de seguridad GDPR, ¿el procesador posiblemente no será responsable de ninguna violación?

Si un procesador es responsable de una violación de seguridad que viola el RGPD, el procesador tiene la responsabilidad directa en virtud del Reglamento. Sin embargo, existe al menos la posibilidad de que el controlador amenace con una multa por las vulnerabilidades de su procesador. Y si las medidas de seguridad en el contrato con un procesador no se describen adecuadamente, es difícil que un controlador demuestre que ha tomado las medidas necesarias para garantizar que solo se brinden aquellos procesadores que brinden garantías suficientes para la implementación de medidas técnicas y organizativas adecuadas ,

También puede ser difícil para un controlador probar su procesador si los estándares de seguridad no se establecen objetivamente.

¿Qué estándares de seguridad para la información deben especificarse en el contrato?

Hay varios problemas clave que deben abordarse en los estándares de seguridad de la información. A menudo es útil hacer referencia a los estándares de seguridad de la información generalmente aceptados que se reconocen en el mercado, como la Familia de Requisitos ISO27000 o el Programa Cyber ​​Essentials del Gobierno Británico (19459018) (19459008).

Los requisitos de seguridad de la información deben incluir medidas de seguridad de la organización, tales como: B.:

  • Presencia e implementación de políticas y procedimientos apropiados para gestionar los riesgos asociados con el almacenamiento, la transmisión y el procesamiento de datos en la ejecución de los Servicios
  • Asegurar acuerdos de gobernanza apropiados con la supervisión de la alta gerencia sobre los estándares de ciberseguridad.
  • Mantener e implementar certificaciones de seguridad apropiadas.
  • Capacitación y educación del personal involucrado en el procesamiento de datos personales.
  • Procedimiento para manejar incidentes de seguridad de datos.
  • Registros y registros de eventos.
  • Procesos de mejora continua.

Además, las medidas técnicas deben incluir:

  • Cumplimiento de ciertas normas o certificaciones de seguridad relacionadas con el entorno técnico en el que se almacena, transmite o procesa la información.
  • Controles de acceso, protocolos y gestión de derechos.
  • Barreras de información y sistemas de clasificación de datos.
  • Requisitos de seguridad física: desde controles del sitio hasta CCTV y políticas de Clear Desk, si corresponde.
  • Requisitos técnicos de seguridad que corresponden a los servicios.
  • Autenticación, copia de seguridad y estándares de borrado.
  • Estándares específicos del sector, si se requieren, como el cumplimiento de PCI-DSS para tarjetas de pago y requisitos de seguridad de red para proveedores de telecomunicaciones.
  • Los controles de dispositivos específicos, por ejemplo, para dispositivos móviles se utilizan al procesar datos.

Por supuesto, esta lista no es exhaustiva. Las empresas deben pensar detenidamente sobre cuáles son las mejores prácticas para los servicios en cuestión y qué riesgos específicos deben abordar sus procesadores. Dependiendo del procesador particular y sus servicios, los estándares de seguridad de la información pueden ser apropiados en forma corta y larga.

Muchos de nuestros proveedores se niegan a aceptar nuestras normas de seguridad prescritas. Que debemos hacer

Hay muchas razones por las cuales los fabricantes pueden rechazar ciertas medidas de seguridad impuestas por los controladores. A menudo se trata de economías de escala en las que los proveedores han diseñado sus servicios para cumplir requisitos específicos y es posible que no puedan implementar medidas de seguridad personalizadas para cada cliente. Del mismo modo, el poder de negociación a menudo entra en juego.

En tales situaciones, como parte de su propio programa de seguridad de la información, el procesador debe poder proporcionar detalles de las medidas técnicas y organizativas que ha tomado para convencer al examinador de que puede proporcionar garantías adecuadas para sus requisitos de seguridad.

Y si la documentación apropiada está disponible, puede especificarse claramente en el contrato, incluso si el proveedor pudiera necesitar una actualización en el contexto de un desempeño continuo. Todavía vale la pena definir un conjunto de medidas detalladas de seguridad de la información establecidas en el contrato.

¿Por qué ahora verifique los estándares para la cadena de suministro?

Han pasado casi 18 meses desde que DSGVO entró en vigor, y los riesgos de ciberseguridad han evolucionado. Ahora sabemos que los reguladores como el ICO están listos para proponer fuertes multas (19459008) que alcanzarán valores del orden de decenas y cientos de millones de libras. Y los riesgos cibernéticos fueron noticia en la portada por otras razones, como el desarrollo de la tecnología 5G.

Está claro que los gobiernos y los reguladores corporativos esperan mejores acciones para garantizar que se tomen las medidas adecuadas de mitigación del riesgo cibernético. Seguir las mejores prácticas es más importante que nunca.



Software alquiler maquinaria de Cea Ordenadores