Por qué la seguridad de la cadena de suministro es esencial según el RGPD

Las violaciones de datos han pasado de ser una ocurrencia rara a un desafío casi diario para las empresas en todo el Reino Unido. En el clima actual de inseguridad, los gigantes de la industria en múltiples sectores se han visto afectados, desde Tesco y TalkTalk, hasta este mes, The AA. Si bien la atención de los medios a menudo se centra en organizaciones de alto perfil, la amenaza a la seguridad está afectando a todas las partes de la cadena de suministro, y casi dos tercios de las empresas en el Reino Unido informaron un ciberataque o una infracción en 2015/16. Para ayudar a gestionar la creciente amenaza, el gobierno del Reino Unido introdujo el esquema Cyber ​​Essentials, un conjunto de recomendaciones de seguridad de mejores prácticas para minimizar el riesgo de ciberataques.

La seguridad está aumentando en la agenda de muchas organizaciones y un área actualmente bajo escrutinio es el uso de sistemas de terceros. El uso de puntos finales mal asegurados, que van desde dispositivos IoT hasta tecnología CCTV mal fabricada o instalada, sigue siendo común, lo que brinda acceso de puerta trasera a la red de una empresa para cualquier atacante. En un entorno en el que los datos de una empresa representan sus joyas de la corona, las empresas deben preguntarse si realmente pueden permitirse confiar en una parte desconocida en su negocio. ¿Se han implementado los sistemas y procesos para evitar que un proveedor externo no garantizado ingrese en su cadena de suministro, o se están exponiendo a riesgos innecesarios y significativos, de naturaleza operacional, de reputación y financiera?

El costo potencial de los eslabones débiles en la seguridad de la cadena de suministro

Representando un reemplazo oportuno de la Ley de Protección de Datos, el GDPR (Reglamento general de protección de datos) se introducirá en mayo de 2018 para proporcionar una línea de base para la forma en que las organizaciones capturan, manejan e informan sobre la información de identificación personal (PII). Sin embargo, a pesar del perfil cada vez mayor de la regulación, casi dos tercios de las empresas británicas aún no saben que podrían enfrentar multas de hasta 20 millones de euros en virtud del RGPD.¹ en caso de que sean declarados culpables de la mala gestión de los datos y los procesos de seguridad.

Por qué son importantes las credenciales

Por lo tanto, es probable que la importancia de esquemas como la certificación Cyber ​​Essentials aumente en los próximos años, ya que las empresas buscan la tranquilidad de que los socios a lo largo de su cadena de suministro comparten la misma actitud hacia un enfoque de seguridad integral. Para garantizar el cumplimiento de GDPR, una de las consideraciones clave es la debida diligencia: realizar una investigación detallada y holística sobre las amenazas de ciberseguridad que se enfrentan y desarrollar estrategias para mitigar estos riesgos. Si bien muchas empresas realizarán controles de diligencia debida, estas empresas a menudo no se extenderán más allá de sus propias cuatro paredes. Con una variedad de proveedores e instaladores de terceros que brindan sistemas de seguridad de misión crítica y soporte a empresas modernas; extender la debida diligencia para incluir toda la cadena de suministro es ahora esencial.

Para enfrentar este desafío, NW Security Group está Aprobado por la Junta de Inspección de Sistemas de Seguridad y Alarmas (SSAIB) y acabamos de lograr Cyber ​​Essentials Plus certificación también. Basándose en esto, ISO 9001 está en camino para 2017 e ISO 27001 está en nuestra mira a partir de entonces, no solo para garantizar nuestra seguridad, sino que significa que estamos armados con el conocimiento, los sistemas y los procesos para garantizar la seguridad de los demás. Según el RGPD, a menudo se requiere el nombramiento de un Oficial de Protección de Datos (DPO) para garantizar las mejores prácticas. Actualmente, sin embargo, se requieren pocas credenciales para desempeñar este papel y, a menudo, una falta de flexibilidad presupuestaria para los nuevos empleados. Nos hemos comprometido no solo a adoptar las mejores prácticas, sino que también las hemos extendido a nuestros clientes mediante el nombramiento de nuestro DPO interno; ofreciendo orientación y consultoría externa.

Si bien los beneficios de seguridad de adherirse a una regulación más estricta son significativos, presenta un desafío operativo considerable para las empresas en todo el Reino Unido. Descubra cómo pueden ayudar nuestros servicios de consultoría de seguridad.

¹http://uk.businessinsider.com/data-protection-law-change-huge-increase-in-fines-2017-6