RELACIÓN SEGURA CON PROVEEDORES Y CLIENTES.

1. INTRODUCCIÓN.

Toda empresa necesita relacionarse con sus proveedores y clientes para que la actividad que desarrolla genere los beneficios deseados.

En relación a nuestros clientes, en primer lugar, debemos cumplir con la legislación vigente, LOPD GDD, para garantizar que los datos que almacenamos de ellos están a buen recaudo y lejos del alcance de un ciberdelincuente.

A parte de los datos personales, prácticamente toda nuestra relación con ellos es ya digital. Pedidos, albaranes, facturas, informes, se envían por email, utilizamos herramientas de mensajería instantánea como WhatsApp o Telegram, o guardamos la información que queremos enviar en un espacio en la nube, como Drive de Google, Onedrive de Microsoft, Dropbox, … enviándoles el enlace de acceso a los mismos.

Que nuestros clientes confíen en nosotros es fundamental, y no sólo respecto a los servicios que nos contratan, sino también al tratamiento que hacemos de su información. Por otro lado, ya es muy frecuente que nuestros grandes clientes nos obliguen a implementar medidas de seguridad tecnológica que asegure que no van a tener problemas ocasionados por unas deficientes medidas de seguridad tecnológicas por nuestra parte.

Respecto a nuestros proveedores, estamos en la misma posición que nuestros clientes con nosotros. Debemos exigirles lo mismo que nos exigimos a nosotros mismos con nuestros clientes: unas medidas de seguridad informática suficientes y un tratamiento de nuestros datos acorde a la legislación vigente.

Todas las empresas contratan servicios con terceros, fundamentalmente porque no pueden tener contratado un especialista en todas las áreas que son necesarias para gestionar la actividad empresarial.

Por ejemplo:

  • El asesoramiento laboral, jurídico o fiscal.
  • El proveedor de informática: sistemas/comunicaciones internas, copiadoras, … –
  • El proveedor de comunicaciones: voz, datos e internet.
  • Y dependiendo de nuestra actividad, nos relacionaremos con otros muchos proveedores.

Por otro lado, cada vez es más frecuente la contratación de servicios cloud (en la nube) para alojar nuestras máquinas o nuestros datos. Dependiendo de que sólo contratemos la infraestructura o nos presten un servicio completo de gestión y administración, deberemos exigirles por contrato que cumplen la ley y que tengan implementadas las medidas de seguridad necesarias para garantizar nuestra actividad o para recuperarla en caso de un incidente.

Con todos ellos, clientes y proveedores, debemos sentarnos a discutir los términos de nuestra relación y cómo nos afecta mutuamente la tecnología con la que nos comunicamos, para garantizar que no surjan problemas operativos o legales para ambas partes, cada uno en su rol oportuno.

¿Por qué debes cumplir con la LOPD GDD?

  • En primer lugar, porque es de obligado cumplimiento, independientemente del tamaño de la empresa.
  • En segundo lugar, porque las sanciones pueden llegar al 4% de nuestra facturación, en casos muy graves.
  • En tercer lugar, porque no puedo exigirle a un cliente o proveedor que proteja mi información si yo no me molesto en proteger la suya.
  • En cuarto lugar, porque la Agencia Española de Protección de Datos, informó de que tenía abierta su sede electrónica para que, empresas y administraciones públicas, obligatoriamente informen de quien va a ser su Delegado de Protección de Datos.
  • En quinto lugar, porque implementar las medidas de seguridad activa que propone el reglamento nos va a hacer trabajar de una forma más segura minimizando el riesgo de sufrir un incidente o ciberincidente.

Que no se te olvide: la protección de datos personales según el RGPD no sólo sirve para evitar sanciones, sirve para conseguir una ventaja competitiva ante la competencia.

Evidentemente hay una diferencia importante entre una gran empresa y una pyme a la hora de implementar las medidas exigidas, sin embargo, como hemos dicho antes, es de obligado cumplimiento para todos y, mientras que las grandes empresas llevan años tratando los datos acorde a la ley, más o menos, las pymes están a años luz. Como dicen algunos, no están maduras. Y el problema está en que vamos a tener que madurar a una velocidad de vértigo.

El punto de inflexión va a darse en el momento en el que se empiece a sancionar a las empresas.

2. RIESGOS EN LA RELACIÓN CON PROVEEDORES.

Tenemos que tener en cuenta que, en España, un país en el que más del 95% de las empresas son pymes, y de estas en un porcentaje similar son micropymes y profesionales, por lo general tenemos una economía de pequeñas empresas prestando servicios a empresas pequeñas.

Este modelo económico plantea problemas sobre todo en las épocas de crisis como las que estamos padeciendo (y digo padeciendo porque todavía hay muchas empresas que no han acabado de superar la crisis), por la imposibilidad de mantener las plantillas, lo cual afecta negativamente al servicio que prestamos o nos prestan.

La gestión de riesgos permite controlar la incertidumbre que afecta a una amenaza. Para ello identificamos, evaluamos y tratamos esos riesgos y valoramos el impacto de la exposición a una amenaza, junto a la probabilidad de que esta se materialice.

Para evitar riesgos, debemos estar muy atentos a si los servicios que contratamos los recibimos con una calidad suficiente. Debemos evaluar a nuestros proveedores periódicamente ya que una parte importante de nuestro éxito depende directamente de ellos.

Por ello, debemos acostumbrarnos a gestionar a los proveedores más allá de la firma del contrato:

– Si un contrato estándar no se ajusta a nuestras necesidades debemos negociar contratos y SLAs (acuerdos de servicio) alineados con nuestros intereses y necesidades.

– Evaluar el servicio que recibimos periódicamente, para:

o Minimizar los riesgos de seguridad evitando así:

  • Por un lado, sanciones.
  • Por otro, que seamos incapaces de prestar nuestros servicios, lo que provocaría, aparte de pérdidas económicas, que nuestra reputación e imagen se vean afectados de cara a nuestros clientes.

o Evitar robos o fugas de información.

o Tener la capacidad de respuesta necesaria en aquellos excesos puntuales de demanda de trabajo.

Cuando nuestros servicios se apoyan en proveedores cloud debemos asegurarnos de que cumpla la ley e implemente medidas de seguridad activas: seguridad física y lógica, backups, monitorización de sus sistemas, …

Ten en cuenta que, aunque hayamos alquilado la infraestructura, soy el responsable de su seguridad, bien porque la gestione yo o porque hayamos externalizado esa gestión en el proveedor, en cuyo caso debo estar vigilante para que el proveedor cumpla sus contratos y SLAs y no nos ocasione alguno de los perjuicios que ya hemos comentado. Por lo tanto:

  • Debemos definir nuestras medidas de seguridad y los riesgos que somos capaces de asumir y los que debemos evitar.
  • Siempre que sea posible debemos conocer las instalaciones donde van a prestarnos el servicio.
  • Debemos exigir que nos presenten periódicamente informes en los que se haga referencia a la eficacia de los controles implementados.

3. ACUERDOS CON PROVEEDORES Y COLABORADORES.

Debemos integrar a nuestros proveedores en el desarrollo de nuestras operaciones. Una estrecha colaboración con nuestros proveedores nos permitirá minimizar riesgos y optimizar costes y plazos. Para ello emplearemos cuatro directrices básicas que nos permitan definir la relación con y reforzar la estrategia:

  • Externalización de aquellos servicios que no estén en el core de nuestro negocio.
  • Rodearnos de los mejores nos permitirá ser mejores y estar más cerca de conseguir la tan ansiada diferencia competitiva con nuestra competencia.
  • Siempre que se pueda es mejor tener al proveedor cerca. La colaboración se vuelve más estrecha.
  • Integración de los proveedores en nuestras operaciones diarias. Implicarles en nuestra operativa permitirá generar sinergias beneficiosas para ambas partes.

Por otro lado, como indicábamos anteriormente, no debemos conformarnos con un acuerdo estándar si no se ajusta a nuestras necesidades. En estos contratos debemos incluir cláusulas que hagan referencia a:

  • Acuerdos de Confidencialidad, es decir, el compromiso que debe adquirir el proveedor de no difundir la información a la que haya tenido acceso durante la prestación de su servicio, llegando incluso a exigirles cláusulas de Propiedad Intelectual si fuera necesario.
  • Que la información esté cifrada, tanto mientras se encuentra en sus equipos como cuando está en tránsito. Este es un requisito del nuevo RGPD para empresas de determinados sectores.
  • La protección de datos personales.
  • Penalizaciones por incumplimientos del contrato.

4. USO SEGURO Y RESPONSABLE DEL CORREO ELECTRÓNICO Y SERVICIOS DE MENSAJERÍA INSTANTÁNEA.

Como indicábamos en la introducción, prácticamente toda nuestra relación con nuestros proveedores y clientes es digital.

Para comunicarnos con ellos utilizamos tanto el correo electrónico como herramientas de mensajería instantánea como WhatsApp.

Precisamente 3 servicios vulnerables y habitualmente utilizados para atacarnos desde el exterior. Probablemente sean el principal vector de ataque en la actualidad, ya que al igual que la comunicación evolucionó desde un correo postal tradicional a los mensajes electrónicos, las estafas y engaños también lo han hecho, aprovechándose de usuarios ingenuos o con escasa concienciación en ciberseguridad.

En todos los casos debemos utilizar servicios diferentes en el ámbito personal y en el ámbito profesional. Mezclar estos ámbitos nos puede crear más de un dolor de cabeza.

Tipos de problemas que aprovechan de estas tecnologías:

  • Hoax o falsas noticias.
  • Estafas.
  • Spam: mensajes masivos, anónimos y no deseados.
  • Phising.
  • Distribución de Malware.
  • Y un larguísimo etc …

Respecto al uso del correo electrónico como medio de transmisión en campañas de email marketing, hay que tener mucho cuidado:

  • En primer lugar, suelen tener muy bajo rendimiento porque la mayoría de la gente no lee emails publicitarios.
  • En segundo lugar, porque nuestro correo podría ser considerado como spam y esto podría provocar que nuestro correo no llegará sus destinatarios al ser bloqueado por los filtros antispam:
  • Filtros Bayesianos.
  • Listas negras.
  • Filtros challenge/response.
  • Filtros firewalls.
  • Filtros que se basan en la reputación del dominio desde el que se envían.

Hay informes que dicen que más del 75% del correo que se envía a diario es correo basura. Teniendo en cuenta la gravedad del asunto y la facilidad con la que el spam puede ocasionarnos serios problemas, no dejan de surgir herramientas para combatirlo. Una de las más utilizadas es el spam score, uno de los tests de spam más potentes del momento.

Los filtros antispam condicionan el spam score y podrían ser detenidos antes de llegar a su destinatario si el índice que asigna a nuestros correos es alto, al ser marcados como maliciosos.

Esto puede provocar un problema muy serio, ya que podría impedir que nos comunicáramos a través del correo electrónico durante una temporada, y de difícil solución a corto plazo.

Para envíos masivos de correos se utilizan otros sistemas.

Por otro lado, una buena concienciación, de nuestro personal, sobre el uso correcto de estas herramientas de comunicación nos permitirá evitar que los ciberdelincuentes los utilicen para perjudicarnos:

  • Debemos ser capaces de identificar correos maliciosos.
  • No dejarnos engañar por phishing.
  • No responder a mensajes que puedan ser spam ni hacer click en enlaces que desconozcamos.
  • No descargar archivos adjuntos recibidos desde correos electrónicos de desconocidos. – Utilizar contraseñas seguras y cambiarlas con cierta periodicidad.
  • No enviar correos en cadena.
  • Usar sistemas de seguridad como antivirus y antispam para correo electrónico. –

En definitiva, usar el sentido común.

Respecto a las herramientas de mensajería instantánea, también hay que tener mucho cuidado. Nuestros smartphones se pueden infectar de una forma muy sencilla a través del envío de imágenes o archivos que recibimos, sobre todo, por WhatsApp. Una vez infectado el smartphone, no tardaremos mucho en enchufarlo un día al ordenador o portátil para cargar porque se está quedando sin batería y, en ese momento se infectará el ordenador.

A efectos de la normativa de protección de datos, el Grupo de trabajo del artículo 29 (GT 29) ha llegado a la conclusión, a través de una carta emitida el pasado mes de octubre de 2017, de que Whatsapp no puede recabar el consentimiento de los usuarios a través de una casilla ya marcada por defecto para ceder nuestros datos personales a Facebook. Esto se debe a la ambigüedad de los términos y condiciones que utiliza, los cuales hacen que la forma de prestar el consentimiento sea totalmente contraria a lo establecido en el nuevo Reglamento General de Protección de Datos (RGPD).

Podríamos llegar a decir que WhatsApp se ha olvidado de todo aquello que tiene que ver con una «manifestación de voluntad, libre, inequívoca, específica e informada». No sólo porque la casilla aparece premarcada, sino porque no informa de los datos personales que se cederán ni tampoco de su finalidad.

En definitiva, para las autoridades de control de protección de datos, WhatsApp no cumple los requisitos de consentimiento e interés legítimo en la cesión de datos a Facebook con su política de «take it o leave it» («lo tomas o lo dejas»).

El GT29 está formado por un representante de la autoridad de protección de datos de cada Estado miembro de la Unión Europea, el Supervisor Europeo de Protección de Datos y la Comisión Europea.