ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

15. Relaciones con Suministradores

El objetivo es implementar y mantener el nivel apropiado de seguridad de la información y la entrega de los servicios contratados en línea con los acuerdos de entrega de servicios de terceros.


La organización debe chequear la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados con terceras personas.



Objetivo de control


Objetivo

El objetivo es garantizar la protección de los activos de la organización que son accesibles a proveedores.


15.1 Seguridad de la información en las relaciones con suministradores

La seguridad de la información de la organización y las instalaciones de procesamiento de la información no debería ser reducida por la introducción de un servicio o producto externo..


Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la organización.


Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberían definirse y aceptarse en un contrato con la tercera parte.


Haga inventario de conexiones de red y flujos de información significativos con 3as partes, evalúe sus riesgos y revise los controles de seguridad de información existentes respecto a los requisitos..


¡Esto puede dar miedo, pero es 100% necesario!.


Considere exigir certificados en ISO/IEC 27001 a los partners más críticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc.


Actividades de control del riesgo

15.1.1 Política de seguridad de la información para suministradores: Se deberían acordar y documentar adecuadamente los requisitos de seguridad de la información requeridos por los activos de la organización con el objetivo de mitigar los riesgos asociados al acceso por parte de proveedores y terceras personas.


15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: Se deberían establecer y acordar todos los requisitos de seguridad de la información pertinentes a cada proveedor que puede acceder, procesar, almacenar, comunicar o proporcionar componentes de infraestructura de TI que dan soporte a la información de la organización.


15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones: Los acuerdos con los proveedores deberían incluir los requisitos para abordar los riesgos de seguridad de la información asociados con la cadena de suministro de los servicios y productos de tecnología de información y comunicaciones.


Métricas asociadas

Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo y estimadas como seguras.


Enlaces a soluciones recomendadas

Government Accountability Office: informe realizado por la Oficina de Contabilidad del Gobierno de los EE.UU (en inglés) sobre los riesgos fundamentales asociados a las cadenas de suministro empleadas por las agencias federales para adquirir equipamiento, software y servicios TIC.


Fundación OPTI y el Instituto Tecnológico de Aragón (ITA): Estudio (España) con un horizonte temporal de 15 años que proporciona información de utilidad para responsables de la toma de decisiones tanto en las empresas como en la Administración.


CISCO: Directrices proporcionadas por Cisco Systems para la evaluación de la seguridad de ASPs (Application Service Providers).


Cloud Security Alliance: Guía de seguridad de áreas críticas en cloud computing. Publicada por la Cloud Security Alliance y traducida al español.


MICROSOFT: ADTest.exe es una herramienta de generación de carga del Active Directory que simula transacciones de clientes a un servidor host para evaluar el rendimiento de Microsoft® Active Directory™ para Microsoft® Windows® Server 2003 y Microsoft® Active Directory Application Mode™.


ISO27001Security: Modelo de política de seguridad para la externalización de servicios.


INCIBE: Modelo de política e información completa sobre aspectos relevantes para la contratación de servicios.


CNI: NS/06: Seguridad industrial. Condiciones específicas para el manejo de Información Clasificada en las actividades, contratos y programas clasificados en los que participen empresas. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.


ONTSI: Con este estudio se pretende arrojar luz, ordenar ideas, analizar el estado del arte y sobre todo a través de las opiniones de los expertos, las encuestas realizadas así como de la evaluación de impacto, identificar retos y oportunidades.


NIST: The National Institute of Standards and Technology (NIST) ha sido designado para acelerar la adopción segura por parte del gobierno federal del cloud computing liderando los esfuerzos para el desarrollo de estándares y guías con la consulta y colaboración cercana con otras entidades para la estandarización, el sector privado y otras partes interesadas.


ENISA: El presente documento en español permite realizar una evaluación informada de los riesgos y ventajas para la seguridad que presenta el uso de la computación en nube, y ofrece orientaciones sobre protección para los usuarios actuales y futuros de la computación en nube.


Cloud Computing Risk Intelligence Map™: Deloitte ofrece una vista única sobre la penetrante, evolucionada e interconectada naturaleza de los riesgos asociados a la computación en la nube y de gran utilidad a personal ejecutivo y gerencial que necesite identificar los riesgos y el grado de afectación a sus organizaciones.


Cloud Security Alliance: Acuerdo de Nivel de Privacidad para la contratación de servicios en la Nube.


Cloud Security Alliance (CSA): Guía que recoge los controles de referencia más importantes en seguridad Cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos, en adelante RLOPD, y el Esquema Nacional de Seguridad, en adelante ENS.



Objetivo de control


Objetivo

El objetivo es mantener el nivel en la prestación de servicios conforme a los acuerdos con el proveedor en materia de seguridad de información.


15.2 Gestión de la prestación del servicio por suministradores

La organización debería verificar la implementación de acuerdos, el monitoreo de su cumplimiento y gestión de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con todos los requerimientos acordados con los terceros.


¿Lo que recibe vale lo que paga por ello? Dé respuesta a esta pregunta y respáldela con hechos, estableciendo un sistema de supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio.


Revise periódicamente los acuerdos de nivel de servicio (SLA) y compárelos con los registros de supervisión. En algunos casos puede funcionar un sistema de premio y castigo.


Esté atento a cambios que tengan impacto en la seguridad.


Actividades de control del riesgo

15.2.1 Supervisión y revisión de los servicios prestados por terceros: Las organizaciones deberían monitorear, revisar y auditar la presentación de servicios del proveedor regularmente.


15.2.2 Gestión de cambios en los servicios prestados por terceros: Se deberían administrar los cambios a la provisión de servicios que realizan los proveedores manteniendo y mejorando: las políticas de seguridad de la información, los procedimientos y controles específicos. Se debería considerar la criticidad de la información comercial, los sistemas y procesos involucrados en el proceso de reevaluación de riesgos.


Métricas asociadas

Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluación del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc.


Enlaces a soluciones recomendadas

FFIEC: Guía del Federal Financial Institutions Examination Council, en inglés, sobre la externalización de procesos TI. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.


Genos Open Source: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


Osiatis: Formación sobre las mejores prácticas en base a ITILv3 para la gestión de suministradores.


ISACA: Herramientas de auditoría y evaluación de la calidad en la prestación de servicios en la nube.


ENISA: Guía práctica destinada a la adquisición y la gestión de servicios en la nube. El foco principal es el sector público, pero gran parte de la guía también es aplicable a las adquisiciones del sector privado. Esta guía ofrece consejos sobre las preguntas a realizar sobre el seguimiento de la seguridad (incluida la disponibilidad del servicio y la continuidad).


Cloud Security Alliance (CSA): Guía que recoge los controles de referencia más importantes en seguridad Cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos, en adelante RLOPD, y el Esquema Nacional de Seguridad, en adelante ENS.