ISGroup Consultoría de Ciberseguridad

AEOS Seguridad de Socios: Cómo proteger la cadena de suministro internacional

La certificación AEOS (Operador Económico Autorizado de Seguridad) no se limita a los límites de tu empresa. Cada eslabón de la cadena de suministro internacional puede convertirse en un punto de vulnerabilidad: un proveedor de TI con sistemas obsoletos, un socio logístico sin los controles adecuados, un subcontratista desconocido. El Código Aduanero de la Unión te hace responsable de la seguridad de toda la cadena, incluso cuando las operaciones están externalizadas.

Responsabilidad compartida: por qué tus socios cuentan

Como Operador Económico Autorizado, eres responsable de tu segmento en la cadena de suministro. Pero la seguridad de las mercancías depende también de los estándares aplicados por quienes trabajan contigo. El artículo 28, apartado 1, letra d) del Reglamento de Ejecución establece que debes demostrar cómo identificas a los socios comerciales y cómo garantizas la seguridad a través de acuerdos contractuales idóneos.

No es obligatorio que todos tus proveedores estén certificados como OEA, pero debes asegurarte de que cumplan con estándares de seguridad aceptables. Esto se aplica especialmente a quienes gestionan servicios críticos: proveedores de TI, operadores logísticos, transportistas internacionales. Una evaluación de riesgos (Risk Assessment) periódica te ayuda a identificar qué socios representan un riesgo elevado y requieren controles más estrictos.

Cláusulas contractuales: blindar los acuerdos con los proveedores

Los acuerdos escritos son el primer nivel de protección. Para los proveedores de servicios de TI o logísticos, incluye cláusulas que prevean:

  • Obligación de proteger los sistemas informáticos contra manipulaciones no autorizadas
  • Prohibición de subcontratar servicios a terceros desconocidos sin garantías de seguridad
  • Protección de los datos empresariales y aduaneros contenidos en los contratos
  • Compromiso de informar puntualmente sobre cualquier incidente de seguridad

Si tu organización también debe cumplir con la Directiva NIS2, ten en cuenta que los requisitos de gestión de proveedores se solapan: ambas normativas exigen controles sobre la cadena de suministro digital y física.

Auditorías y verificaciones: del papel a la realidad

Las cláusulas contractuales no son suficientes. Debes verificar que los socios cumplan concretamente con los compromisos adquiridos. Implementa procedimientos de seguimiento a través de:

  • Auditorías de seguridad realizadas directamente o por expertos terceros en las sedes de los socios
  • Visitas regulares para verificar el cumplimiento de las normas físicas e informáticas
  • Solicitud de declaraciones de seguridad o certificaciones internacionales como ISO 27001

Un proveedor de TI que gestiona tus sistemas aduaneros debería demostrar procesos de protección de datos, copias de seguridad seguras y gestión de accesos. Un operador logístico debería garantizar controles físicos en los almacenes, videovigilancia y procedimientos de acceso controlado. Para evaluar la seguridad de los sistemas de aplicación utilizados por los socios, considera solicitar pruebas de seguridad de las aplicaciones que verifiquen la ausencia de vulnerabilidades críticas.

Preguntas frecuentes sobre la seguridad de los socios comerciales

  • ¿Es obligatorio que los proveedores estén certificados como OEA?
  • No. No estás obligado a exigir que los socios estén certificados como OEA. Sin embargo, debes garantizar que cumplan con estándares de seguridad adecuados para proteger la cadena de suministro. Puedes aceptar proveedores no certificados si demuestras que aplican controles equivalentes.
  • ¿Cómo se verifica la seguridad de un proveedor de TI?
  • La verificación se realiza a través del análisis de los procesos de protección de datos, la solicitud de certificaciones ISO 27001, el envío de cuestionarios de autoevaluación o la realización de auditorías técnicas e inspecciones in situ. También puedes solicitar informes de pruebas de penetración (penetration test) o evaluaciones de vulnerabilidad (vulnerability assessment) realizados por terceros.
  • ¿Qué cláusulas contractuales se recomiendan?
  • Se recomiendan cláusulas sobre la protección del sistema informático, obligaciones de notificación en caso de incidentes, el derecho a realizar auditorías periódicas y restricciones sobre la subcontratación a terceros no identificados. Incluye también penalizaciones en caso de incumplimiento de los estándares de seguridad acordados.
  • ¿El operador OEA sigue siendo responsable en caso de incidente en un proveedor?
  • Sí. Puedes externalizar las actividades técnicas, pero no puedes externalizar la responsabilidad del cumplimiento de los criterios OEA ante las autoridades aduaneras. Si un proveedor causa un incidente de seguridad, las consecuencias recaen también sobre ti.
  • ¿La evaluación de riesgos debe incluir la cadena de suministro digital?
  • Sí. El análisis de riesgos y amenazas debe cubrir todos los aspectos relevantes para las actividades aduaneras, incluidos los sistemas informáticos, los proveedores de servicios externos y la seguridad de la información intercambiada con los socios. Considera también los riesgos relacionados con proveedores de nube, empresas de software e integradores de sistemas.

El estatus AEOS requiere un seguimiento constante de los socios comerciales. La seguridad de la cadena de suministro no es un documento que firmar, sino un proceso continuo de verificación, auditoría y mejora. Solo así puedes garantizar que cada eslabón de la cadena cumpla con los estándares exigidos por la normativa europea. Para mantener un control eficaz sobre las vulnerabilidades de toda la cadena, implementa un sistema de gestión continua de vulnerabilidades que cubra también los sistemas de los socios críticos.

Información adicional

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *