Relación con los Proveedores

Anexo 15 - ISO 27001

Video Consejo INCIBE

Caso de estudio sobre los riesgos relacionados con la prestación de servicios por proveedores esenciales


Explicación orientativa

El objetivo es implementar y mantener el nivel apropiado de seguridad de la información y la entrega de los servicios contratados en línea con los acuerdos de entrega de servicios de terceros.

La organización debe chequear la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados con terceras personas.

Haga inventario de conexiones de red y flujos de información significativos con 3as partes, evalúe sus riesgos y revise los controles de seguridad de información existentes respecto a los requisitos..
¡Esto puede dar miedo, pero es 100% necesario!.

Considere exigir certificados en ISO/IEC 27001 a los partners más críticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc.

15.1 Seguridad de la información en las relaciones con suministradores

El objetivo es asegurar la protección de los activos de la organización que sean accesibles a los proveedores en la prestación de los servicios contratados

La seguridad de la información de la organización y las instalaciones de procesamiento de la información no debería ser reducida por la introducción de un servicio o producto externo..

Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la organización.

Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberían definirse y aceptarse en un contrato con la tercera parte.

Una falta de control en estos aspectos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...) 

15.1.1 Política de seguridad de la información para suministradores: Se deberían acordar y documentar adecuadamente los requisitos de seguridad de la información requeridos por los activos de la organización con el objetivo de mitigar los riesgos asociados al acceso por parte de proveedores y terceras personas.

15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: Se deberían establecer y acordar todos los requisitos de seguridad de la información pertinentes a cada proveedor que puede acceder, procesar, almacenar, comunicar o proporcionar componentes de infraestructura de TI que dan soporte a la información de la organización.

15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones: Los acuerdos con los proveedores deberían incluir los requisitos para abordar los riesgos de seguridad de la información asociados con la cadena de suministro de los servicios y productos de tecnología de información y comunicaciones.

Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo y estimadas como seguras.

Government Accountability Office: informe realizado por la Oficina de Contabilidad del Gobierno de los EE.UU (en inglés) sobre los riesgos fundamentales asociados a las cadenas de suministro empleadas por las agencias federales para adquirir equipamiento, software y servicios TIC.


CISCO: Directrices proporcionadas por Cisco Systems para la evaluación de la seguridad de ASPs (Application Service Providers).


Cloud Security Alliance: Guía de seguridad de áreas críticas en cloud computing. Publicada por la Cloud Security Alliance y traducida al español.


ISO27001Security: Modelo de política de seguridad para la externalización de servicios.


INCIBE: Modelos de políticas incluida la de información completa sobre aspectos relevantes para la contratación de servicios.


ENISA: El presente documento en español permite realizar una evaluación informada de los riesgos y ventajas para la seguridad que presenta el uso de la computación en nube, y ofrece orientaciones sobre protección para los usuarios actuales y futuros de la computación en nube.


Cloud Computing Risk Intelligence Map™: Deloitte ofrece una vista única sobre la penetrante, evolucionada e interconectada naturaleza de los riesgos asociados a la computación en la nube y de gran utilidad a personal ejecutivo y gerencial que necesite identificar los riesgos y el grado de afectación a sus organizaciones.


Cloud Security Alliance: Acuerdo de Nivel de Privacidad para la contratación de servicios en la Nube.


Cloud Security Alliance (CSA): Guía que recoge los controles de referencia más importantes en seguridad Cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos, en adelante RLOPD, y el Esquema Nacional de Seguridad, en adelante ENS.



15.2 Gestión de la prestación del servicio por suministradores

El objetivo es establecer acuerdos en el nivel de seguridad apropiado y mantener una provisión de los servicios de los proveedores alineados con estos acuerdos

La organización debería verificar la implementación de acuerdos, el monitoreo de su cumplimiento y gestión de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con todos los requerimientos acordados con los terceros.

¿Lo que recibe vale lo que paga por ello? Dé respuesta a esta pregunta y respáldela con hechos, estableciendo un sistema de supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio.

Revise periódicamente los acuerdos de nivel de servicio (SLA) y compárelos con los registros de supervisión. En algunos casos puede funcionar un sistema de premio y castigo.

Esté atento a cambios que tengan impacto en la seguridad.

Una falta de control en estos aspectos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...)

15.2.1 Supervisión y revisión de los servicios prestados por terceros: Las organizaciones deberían monitorear, revisar y auditar la presentación de servicios del proveedor regularmente.

15.2.2 Gestión de cambios en los servicios prestados por terceros: Se deberían administrar los cambios a la provisión de servicios que realizan los proveedores manteniendo y mejorando: las políticas de seguridad de la información, los procedimientos y controles específicos. Se debería considerar la criticidad de la información comercial, los sistemas y procesos involucrados en el proceso de reevaluación de riesgos.

Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluación del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc.

FFIEC: Guía del Federal Financial Institutions Examination Council, en inglés, sobre la externalización de procesos TI. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.


Genos Open Source: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


ISACA: Herramientas de auditoría y evaluación de la calidad en la prestación de servicios en la nube.


ENISA: Guía práctica destinada a la adquisición y la gestión de servicios en la nube. El foco principal es el sector público, pero gran parte de la guía también es aplicable a las adquisiciones del sector privado. Esta guía ofrece consejos sobre las preguntas a realizar sobre el seguimiento de la seguridad (incluida la disponibilidad del servicio y la continuidad).


Cloud Security Alliance (CSA): Guía que recoge los controles de referencia más importantes en seguridad Cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos, en adelante RLOPD, y el Esquema Nacional de Seguridad, en adelante ENS.

Manual de riesgos de InfoSec de terceros: La gestión eficaz del riesgo en la seguridad de la información derivado de las relaciones con terceros es un aspecto esencial de la capacidad de GRC (Gobierno, Riesgos y Cumplimiento). Esta guía de OCEG aplica un flujo para el análisis de riesgos en aquellos terceros con una matrix de control de los riesgos identificados.


© 2005 Aviso Legal - Términos de uso información iso27000.es