Seguritecnia 492

los ciberincidentes a los que ha estado expuesto el proveedor. Posteriormente, tal y como explicó el ponente, son las distintas áreas (des- pués de que el Departamento de Com- pras homologue y carterice al vendor ), quienes analizan el riesgo del binomio proveedor-servicio. “En función del ries- go, definimos una serie de medidas que debe cumplir el proveedor”, completó el representante de BBVA. Por su parte, José María Rico , director de Seguridad de Red Eléctrica Española, explicó que su organización enfoca la seguridad en la cadena de suministro desde el punto de vista de la gestión del riesgo. Para ello, primeramente analizan qué tipo de servicios o suministros van a abordar. Sin embargo, Rico expuso un problema al que se ven abocados en numerosas ocasiones: la Dirección advierte que la gestión de la seguridad “no puede para- lizar el negocio ni retrasar o encarecer el servicio”. “Por tanto”, explicó el invitado de Red Eléctrica, “debemos concienciar a la organización de que hay un riesgo que puede afectar al negocio”. En este proceso existe, además, un elemento que sacó a colación Rico y que supone un grave problema para las organizaciones: los insiders . Personal interno que, debido a su conocimiento y posibilidad de acceso a diversos acti- vos corporativos más o menos críticos, puede poner en jaque a las compañías. Es por ello que el representante de Red Eléctrica Española advirtió de la nece- sidad de dotar a las compañías de las herramientas necesarias para gestionar este riesgo. Criticidad Siguiendo con la evaluación del nivel de criticidad, para Antonio Ramos , socio fundador de Leet Security, “no puede ha- ber un único proceso para todo porque no todo es igual de crítico”. De hecho, según afirmó, “incluso un mismo servi- cio puede tener distintas criticidades”. A partir de ahí, el ponente abogó por establecer medidas en función de dicho riesgo que ayuden a que el proveedor en cuestión pueda ofrecer un mayor o me- nor nivel de seguridad. Y también que se le pueda someter a procesos más rigu- rosos de certificación en función de esa criticidad. “Este proceso pone de manifiesto un reto: que todo el ecosistema garantice un nivel de seguridad a los clientes y que haya un proceso transparente y ob- jetivo para evaluar esa ciberseguridad”, completó. Por todo ello, Ramos avisó de la impor- tancia de no trabajar con proveedores que no muestran sus niveles de ciberse- guridad. Sobre todo porque, a posteriori , esto “se convierte en un problema” de la empresa contratante. Certificación Por último, Javier Candau , jefe del De- partamento de Ciberseguridad del Cen- tro Criptológico Nacional, también habló sobre los esquemas de certificación en ciberseguridad. Y para ello se basó en el Esquema Nacional de Seguridad, que se actualizará próximamente. En este senti- do, y ante las opiniones que manifiestan la necesidad de contar con varios es- tándares de ciberseguridad en función de los requisitos y riesgos, Candau fue claro: “Debemos tener un esquema de ciberseguridad único, con todas las ga- rantías y lo suficientemente ágil para que el proceso de gestión se incluya en las empresas proveedoras”. Finalmente, el representante de la Administración se mostró tajante a la hora de opinar sobre los insiders : “Te- nemos suficiente madurez en ciberse- guridad como para contar con una red lo suficientemente robusta y con los instrumentos necesarios que impidan acciones indeseables y se vigile el com- portamiento de nuestros usuarios”. / Diciembre 2021 39