La gestió de riscos de tercers.
Claus per a una operació eficient del control de la cadena de subministrament
Omple el formulari
Saps per què la gestió del risc de tercers s'ha convertit en una prioritat estratègica per a l'alta direcció?
Omple aquest formulari i descarrega aquest document, on t'expliquem:
- Per què el risc de tercers impacta en la continuïtat operativa, la reputació i el valor empresarial
- Com la dependència de proveïdors tecnològics amplia la superfície de risc
- Els requisits del RGPD, NIS2, DORA i RIA en matèria d'avaluació, classificació i supervisió varien segons la seva naturalesa i abast, però generalment es centren en els següents punts clau: **Reglament General de Protecció de Dades (RGPD):** * **Avaluació:** El RGPD exigeix una avaluació contínua dels riscos per als drets i llibertats de les persones físiques associats al tractament de dades personals. Això inclou la Realització d'Avaluaions d'Impacte de Protecció de Dades (EIPD) per a tractaments de risc alt. * **Classificació:** Encara que no imposa una classificació explícita de dades (com "sensibles" o "no sensibles"), sí que diferencia entre "dades personals" i categories especials de dades personals (dades genètiques, biomètriques, de salut, origen ètnic, opinions polítiques, religioses, etc.), que requereixen mesures de protecció més rigoroses. * **Supervisió:** Es basa en l'autocontrol dels responsables del tractament i encarregats, amb la supervisió dels organismes de control (Agència Espanyola de Protecció de Dades a Espanya) i el dret dels interessats a presentar reclamacions. També exigeix la supervisió dels encarregats per part dels responsables. **Directiva NIS2 (Seguretat de les Xarxes i Sistemes d'Informació 2):** * **Avaluació:** Exigeix una avaluació contínua de riscos de seguretat i la implementació de mesures tècniques, operatives i organitzatives adequades per gestionar aquests riscos. Inclou la necessitat d'avaluar la seguretat de la cadena de subministrament. * **Classificació:** Classifica les entitats en dos tipus: "entitats essencials" i "altres entitats obligades", cadascuna amb diferents nivells d'obligacions de seguretat. També es reconeix la classificació de la informació segons la seva sensibilitat i criticidad. * **Supervisió:** Estableix obligacions de supervisió per part de les autoritats competents de cada estat membre, incloent la possibilitat de realitzar auditories, inspeccions i imposar sancions. Les entitats també han de supervisar la seguretat dels seus proveïdors de serveis digitals. **Reglament sobre Recuperació d'Actius i Resolució (DORA) (Digital Operational Resilience Act):** * **Avaluació:** Demana una avaluació exhaustiva i contínua dels riscos operatius digitals, incloent amenaces cibernètiques i riscos relacionats amb third-party ICT. S'exigeixen proves de resiliència digital. * **Classificació:** Classifica els proveïdors de serveis ICT de tercers en funció de la seva importància crítica per a les entitats financeres, la qual cosa determina el nivell de supervisió. Les entitats financeres han de classificar els seus propis riscos operatius. * **Supervisió:** Imposa un marc de supervisió detallat, amb la supervisió directa d'alguns proveïdors ICT crítics per part d'autoritats europees i la supervisió per part de les autoritats nacionals de les entitats financeres i altres proveïdors ICT. **Reglament sobre Ciberseguretat Industrial i Resiliència (RIA) (amb referència probable a reglaments o legislació específica sobre ciberseguretat industrial, ja que no és un acrònim universalment reconegut com els altres):** Si es fa referència a regulacions similars a la Directiva NIS2 però enfocades a la ciberseguretat industrial i la resiliència dels sistemes de control industrial (ICS) i sistemes d'automatització, els requisits podrien ser: * **Avaluació:** Exigència d'identificar, avaluar i gestionar els riscos de ciberseguretat que afecten els sistemes de control industrial i els seus components. * **Classificació:** Possible classificació dels sistemes industrials en funció del seu nivell de criticidad i l'impacte potencial d'una fallada o compromís. * **Supervisió:** Supervisió per part d'autoritats competents per garantir el compliment de les mesures de seguretat establertes per protegir les infraestructures crítiques i els processos industrials. En resum, aquestes normatives comparteixen un objectiu comú de millorar la seguretat i la resiliència, exigint a les organitzacions que realitzin avaluacions de riscos exhaustives, classifiquin adequadament els seus actius i informació, i estableixin mecanismes de supervisió interna i externa per garantir el compliment i mitigar amenaces.
- Per què la responsabilitat roman a l'organització que decideix externalitzar
- Com acreditar la diligència mitjançant la selecció, el control, el seguiment i la traçabilitat
- Com construir un model coherent, escalable i defensable davant els reguladors