Los contratos y acuerdos con proveedores involucran información tanto de tu organización como la de la otra parte, información que en algunos casos puede ser sensible. Es por ello, que proteger los datos que se comparten en las relaciones con los proveedores es una necesidad para asegurar el buen uso de la información.
Por esta razón, en la Norma ISO 27001 también se incluye un apartado sobre la seguridad de la información en las relaciones y acuerdos de prestación de servicios con los proveedores. El objetivo de este es la protección de los valiosos activos de la organización que son accesibles o afectados por los proveedores.
Además, es recomendable que también consideres otras relaciones clave aquí, por ejemplo, socios que también tengan un impacto en los activos de la empresa que podrían no estar cubiertos simplemente por un contrato.
Para proteger tu información y llevar un seguimiento de los proveedores, a continuación te contamos las medidas que debes tomar de acuerdo con los controles de la declaración de aplicabilidad del anexo A de la Norma ISO 27001.
No olvides leer: Tips para implementar la declaración de aplicabilidad
Política de seguridad de la información de los proveedores
Las relaciones con los proveedores se dan por dos razones principales; uno: quieres que hagan un trabajo que has elegido no hacer internamente tú mismo, o dos: no se puede hacer el trabajo tan bien ni con la misma rentabilidad que los proveedores.
Hay muchas cosas importantes a considerar en el enfoque de la selección y gestión de proveedores, pero una sola regulación no sirve para todos, porque algunos proveedores serán más importantes que otros. Como tal, tus controles y políticas deben reflejar eso también y una segmentación de la cadena de suministro adecuada.
De acuerdo con la norma, tu empresa debe:
- “identificar y documentar los tipos de proveedores, por ejemplo, servicios de TI, servicios de logística, servicios financieros, componentes de infraestructura de TI, a quienes la organización permitirá acceder a su información;
- un proceso y ciclo de vida estandarizados para gestionar las relaciones con los proveedores;
- definir los tipos de acceso a la información que se permitirán a los diferentes tipos de proveedores, y monitorear y controlar el acceso;
- requisitos mínimos de seguridad de la información para cada tipo de información y tipo de acceso para que sirvan de base para acuerdos con proveedores individuales basados en las necesidades y requisitos comerciales de la organización y su perfil de riesgo”.
Además, para adoptar un enfoque más avanzado de la seguridad de la información en la cadena de suministro con los proveedores más estratégicos (alto valor / mayor riesgo), tu organización debe evitar las prácticas binarias de transferencia de riesgo de cumplir o morir, por ejemplo, contratos desagradables que impidan una buena colaboración.
En su lugar, es recomendable que desarrolles relaciones de trabajo estrechas con los proveedores y más aún con aquellos donde la información y los activos de alto valor están en riesgo, o están agregando activos de información de alguna manera (positiva). Es probable que esto conduzca a mejores relaciones laborales y, por lo tanto, también proporcione mejores resultados comerciales.
Una buena política describe la segmentación, selección, gestión, salida de proveedores, cómo se controlan los activos de información alrededor de los proveedores para mitigar los riesgos asociados y, al mismo tiempo, permitir la consecución de las metas y objetivos comerciales.
Una organización puede querer que los proveedores accedan y contribuyan a ciertos activos de información de alto valor, por ejemplo, desarrollo de código de software, información de nómina contable, estrategias internas, etc. Por lo tanto, se requieren tener acuerdos claros sobre el alcance y acceso que dichos proveedores pueden tener sobre la información de la empresa, con el fin de que solo accedan a la información autorizada y con los controles de seguridad y trazabilidad necesarios para su seguimiento.
Esto es especialmente importante dado que cada vez se subcontratan más servicios de gestión, procesamiento y tecnologías de la información. Eso significa que estos controles deben estar incorporados en los procesos y ser entendidos por el personal de la organización; procedimientos, contratos, incidentes, actividad de relación, gestión de riesgos, etc.
- Tratamiento de la seguridad dentro de los acuerdos con proveedores.
Todos los requisitos de seguridad de la información relevantes deben estar establecidos con cada proveedor que tenga acceso o pueda afectar la información de la organización (o los activos que la procesan). Una vez más, esto no debería ser único para todos; adopta un enfoque basado en el riesgo en torno a los diferentes tipos de proveedores involucrados y el trabajo que realizan.
Trabajar con proveedores que ya satisfacen la mayoría de las necesidades de seguridad de la información de tu organización para los servicios que te brindan y que tienen un buen historial de abordar los problemas de seguridad de la información de manera responsable es una muy buena idea, ya que hará que todos estos procesos sean mucho más fáciles.
En términos simples, busca proveedores que ya hayan obtenido una certificación independiente ISO 27001 o su equivalente. También asegúrate de que los proveedores se mantengan informados y se involucren con cualquier cambio en el SGSI o que se involucren específicamente en las partes que afectan sus servicios.
Los aspectos a incluir en el alcance del suministro y los acuerdos generalmente incluyen: el trabajo y su alcance; información en riesgo y clasificación; requisitos legales y reglamentarios, por ejemplo, adherencia al RGPD u otra legislación aplicable; informes y revisiones; no divulgación; IPR; administración de incidentes; políticas específicas a cumplir si son importantes para el acuerdo; obligaciones de los subcontratistas; proyección en el personal, etc.
Un buen contrato estándar se ocupará de estos puntos, pero como se indicó anteriormente, a veces puede que no sea necesario y podría ser excesivo para el tipo de suministro, o puede que no sea posible obligar a un proveedor a seguir tu idea de buenas prácticas, mejor se pragmático y centrado en el riesgo en el enfoque.
De esta forma: “Los acuerdos con proveedores deben establecerse y documentarse para garantizar que no haya malentendidos entre la organización y el proveedor con respecto a las obligaciones de ambas partes de cumplir con los requisitos de seguridad de la información relevantes.”
- Cadena de suministro de tecnología de la información y las comunicaciones
Un buen control se centra en los proveedores de TIC que pueden necesitar algo además o en lugar del enfoque estándar. ISO 27002 aboga por numerosas áreas de implementación y, si bien todas son buenas, también se necesita algo de pragmatismo. Tu organización debe reconocer nuevamente su tamaño en comparación con algunos de los proveedores muy grandes con los que a veces trabajarás (por ejemplo, centros de datos y servicios de alojamiento, bancos, etc.), por lo que podrías limitar su capacidad para influir en las prácticas más allá de la cadena de suministro. También considera cuidadosamente qué riesgos pueden existir en función del tipo de servicios de tecnología de la información y las comunicaciones que se brindan. Por ejemplo, si el proveedor suple servicios críticos en la transformación digital de tu empresa, como infraestructura tecnológica y tiene acceso a información sensible.
Una vez que las operaciones de los proveedores de servicios han comenzado, es importante que te asegures de que los servicios prestados se ajusten a las especificaciones de los contratos de terceros. Esto puede incluir todo, desde los niveles de disponibilidad del servicio hasta algo más granular, como examinar los controles de seguridad que el proveedor de servicios acordó en el contrato.
Si existe un gran nivel de dependencia de los proveedores de servicios de terceros, es posible que se justifique la verificación de las capacidades del servicio, los planes para manejar los incidentes de seguridad de la información o las interrupciones del servicio y las pruebas de continuidad del negocio. También debes llevar un monitoreo y las revisiones sistemáticas de los servicios y controles, incluido el escrutinio de los informes de servicio proporcionados por terceros para garantizar que la información sea suficiente y relevante.
A medida que se modifican los requisitos comerciales o de tecnología de la información, esto también puede requerir un cambio en la provisión de servicios de terceros, y deben existir procedimientos para manejar cualquier nuevo requisito. Además, las modificaciones también pueden requerir una revisión de los controles de seguridad de la información existentes para garantizar que sean adecuados.
Como puedes notar, proteger los activos de información en tu organización requiere de controles y políticas específicas para regular la relación con tus proveedores y otros actores clave. Teniendo claras las disposiciones de tu organización es esta materia y asegurándote de que tus proveedores se ciñan a ellas, puedes estar seguro que los datos que compartes se utilizarán adecuadamente.
Por último recuerda que la administración de tu Sistema de Gestión de Seguridad de la Información no tiene que ser compleja. Con KAWAK®, el software para sistemas de gestión puedes llevar este proceso de una forma simple y efectiva.
¡KAWAK® es la herramienta que necesitas para gestionar la calidad en la nube!
