El hack de SolarWinds destaca la necesidad crítica de que las organizaciones de todos los tamaños incluyan la gestión de riesgos de la cadena de suministro cibernético como parte de su programa de seguridad de la información.
Antilavadodedinero / natlawreview
También es un recordatorio de que los riesgos de privacidad y seguridad de los datos de una organización pueden provenir de varios vectores, incluidos proveedores externos y proveedores de servicios. A modo de ejemplo, el Departamento de Salud de Pensilvania anunció recientemente un incidente de seguridad de datos que involucró a un proveedor externo contratado para proporcionar rastreo de contactos COVID-19.
La información personal de los residentes de Pensilvania se vio potencialmente comprometida cuando los empleados del proveedor utilizaron un canal de colaboración no autorizado.
La protección contra estos riesgos requiere mantener e implementar una política de administración de proveedores externos, una parte crítica y a menudo pasada por alto del programa de seguridad de la información de una organización. La gestión de proveedores adecuada ayuda a protegerse contra las amenazas a los datos de una organización planteadas por terceros autorizados que tienen acceso directo o indirecto.
Los riesgos pueden incluir filtraciones de datos, uso o divulgación no autorizados y corrupción o pérdida de datos. Estos riesgos pueden provenir de proveedores que brindan almacenamiento en la nube, SaaS, procesamiento de nóminas o servicios de recursos humanos, servicios que utilizan dispositivos conectados, servicios de TI o incluso eliminación de registros.
Las políticas y prácticas sólidas de administración de proveedores generalmente involucran tres componentes: realizar la debida diligencia para garantizar que el proveedor externo o el proveedor de servicios con el que la organización comparte información personal o al que divulga o proporciona acceso, implementa salvaguardas razonables y apropiadas para garantizar la privacidad y la seguridad de esos datos; obligar contractualmente al proveedor externo o al proveedor de servicios a implementar tales salvaguardas; y supervisar al proveedor externo o al proveedor de servicios para garantizar el cumplimiento de estas disposiciones contratadas.
Si bien la gestión de proveedores es una práctica recomendada, también es un requisito de ciertas leyes federales de EE. UU. , Incluidas la Ley Gramm-Leach-Bliley y la HIPPA , las leyes estatales de Massachusetts , Illinois y California , y las leyes municipales como el Departamento de Ciberseguridad de Servicios Financieros de Nueva York. Reglas (NYCRR 500). En la UE, el Reglamento Europeo de Protección de Datos (GDPR) requiere específicamente que un controlador de datos use solo procesadores (por ejemplo, proveedores de servicios de terceros) que brinden suficientes garantías escritas para implementar medidas técnicas y organizativas apropiadas que garanticen la privacidad y seguridad del controlador. información personal.
Además de las prácticas obligatorias de gestión de proveedores, más de veinte estados, incluidos Florida , Texas , Massachusetts , Nueva York , Illinois , tienen leyes que exigen que las empresas que recopilan y mantienen información personal implementen medidas de seguridad razonables para proteger esos datos. A estos estados se unieron la Ley de Protección de la Privacidad de California (CPRA) y la Ley de Protección de Datos del Consumidor de Virginia (CDPA) recientemente promulgadas . Aunque la mayoría de estos estatutos no definen salvaguardas razonables, similares a las prácticas de retención de datos y limitaciones de almacenamiento , las prácticas de gestión de proveedores pueden constituir una “salvaguarda razonable”.
La Comisión Federal de Comercio (FTC) adoptó esa posición en un Acuerdo de Consentimiento que resuelve supuestas violaciones de la Regla de Salvaguardias de la Ley Gramm-Leach-Bliley (GLBA). En su denuncia, la FTC alegó varias violaciones, incluida la omisión de tomar medidas razonables para seleccionar proveedores de servicios capaces de mantener las salvaguardas adecuadas para la información personal proporcionada por la empresa y la falta de exigir a los proveedores de servicios por contrato que implementen las salvaguardas adecuadas para dicha información personal.
El Acuerdo de Consentimiento requería que la compañía estableciera, implementara y mantuviera un programa integral de seguridad de datos que proteja la seguridad de cierta información cubierta (es decir, salvaguardas razonables). Este requisito incluye específicamente seleccionar y retener proveedores capaces de salvaguardar la información personal de la empresa a la que acceden a través de la empresa o que reciben de ella y exigir contractualmente a los proveedores que implementen y mantengan salvaguardas para dicha información.
En los últimos meses, las empresas se han enfrentado a mayores riesgos para la seguridad de su información por parte de los actores de amenazas, más acuerdos de trabajo remoto y actividades subcontratadas que involucran datos confidenciales. Estas amenazas, combinadas con una proliferación de leyes de protección de datos propuestas y promulgadas, subrayan la importancia de implementar, mantener y monitorear un programa sólido de administración de proveedores.
