El cumplimiento se está alejando de la garantía contractual, pero basada en la confianza y de la gestión de la seguridad de la información, hacia un cumplimiento más contextual, centrado en el riesgo y demostrable.
Esta transición tan esperada está siendo impulsada, en parte, por regulaciones de protección de datos como la Reglamento General de Protección de Datos (GDPR) en Europa, y el Departamento de Servicios Financieros del Estado de Nueva York (NYS DFS) 500 en EE. UU.
Al abordar directamente la seguridad de la cadena de suministro, el artículo 28 del RGPD hace que El Responsable del tratamiento es responsable únicamente de elegir a los Procesadores de datos que puedan garantizar sus medidas técnicas y organizativas garantizarán que el procesamiento de datos cumpla con los requisitos del RGPD para garantizar la protección de los derechos del Interesado. Cita explícitamente el cumplimiento del artículo 32 Medidas de seguridad del procesamiento.
Aunque está dirigida al sector de servicios financieros, la Sección 500.11 del DFS del Estado de Nueva York (Política de seguridad para proveedores de servicios externos), requiere que las políticas y procedimientos de una "entidad cubierta" se basen en la evaluación de riesgos.
No es diferente al RGPD en cuanto a que exige que se cumplan las prácticas mínimas de ciberseguridad, se utilizan procesos de diligencia debida para evaluar la idoneidad de las prácticas de ciberseguridad y se lleva a cabo una evaluación periódica en función del riesgo que presentan y la idoneidad continua de sus prácticas de ciberseguridad.
En consecuencia, las partes interesadas regulatorias clave, como el Red Europea y Seguridad de la información Agencia (ENISA) Consideran la seguridad en la cadena de suministro como un importante factor de protección de datos. riesgo a nivel global. Su reciente informe, Ciberseguros: avances recientes, buenas prácticas y desafíos destaca que solo el 23% de las organizaciones evalúan a los proveedores en cuanto al riesgo cibernético.
Y, en Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) publicó el último borrador del Marco para mejorar la ciberseguridad de las infraestructuras críticas, también conocido como el Marco de ciberseguridad del NIST, que tiene un:
“Explicación muy ampliada sobre el uso del Marco para la gestión de riesgos de la cadena de suministro cibernético (SCRM):
Una Sección 3.3 ampliada, Comunicación de los requisitos de ciberseguridad con las partes interesadas, ayuda a los usuarios a comprender mejor Cyber SCRM. Cyber SCRM también se ha agregado como propiedad de los niveles de implementación. Finalmente, se ha agregado una categoría de gestión de riesgos de la cadena de suministro al marco central”.
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
En el apartado 3.2.6 del informe de ENISA recomiendan que, según ISO 27001 Objetivos de control y específicamente Anexo A.15 controles, las partes interesadas, como aseguradoras, clientes, inversores y reguladores, verifican la existencia de un proceso formal de gestión de terceros y reciben detalles sobre la diligencia debida, la supervisión continua y las obligaciones contractuales.
En ausencia de Códigos de conducta del RGPD aprobados, la capacidad de un Procesador de datos (u otro proveedor crítico) para demostrar el cumplimiento de los requisitos de procesamiento de seguridad del Artículo 32 se puede lograr implementando e idealmente asegurando la acreditación ISO 27001.
Esto les permite demostrar capacidades de gestión e identificación de riesgos contextuales y la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento.
De manera igualmente aplicable a NYS DFS, en su último borrador de la función marco de identificación “fundamental”, el NIST también hace referencia a los mismos objetivos de control de ISO 27001 y Anexo A.15 Controles para su Identificación de Gestión de Riesgos en la Cadena de Suministro categoría, así como otros objetivos de control ISO y controles del Anexo A para todas las demás categorías clave de identificación de:
Por lo tanto, ya sea que usted elija implementar todos ISO 27001 o simplemente controles clave en torno a la identificación y gestión de riesgos contextuales, está claro el Controles ISO 27001 A.15 para gestionar proveedores (y otras relaciones importantes) ofrecer un medio eficaz de describiendo cómo gestiona la seguridad en la cadena de suministro tanto para GDPR como para NYS DFS 500.
Pero, ¿cómo se puede lograr una rentabilidad rentable y rápida? demostrar que?
La plataforma nos dio una gran ventaja en comparación con depender de bibliotecas más baratas o crear toda la documentación desde cero. Nos ha parecido increíblemente fácil de usar y el equipo de soporte ha sido fenomenal. No puedo recomendar lo suficiente ISMS.online.
Las grandes empresas necesitan ir más allá de los tradicionales cuestionarios y contratos de proveedores de "cumplir o morir" que fomentan una respuesta con casillas de verificación, cuya precisión sólo se probará una vez que haya ocurrido un incidente, momento en el cual a menudo ya es demasiado tarde.
Si bien usted puede estar contento de tener un contrato firme, es poco probable que sus inversionistas, clientes y, con Cumplimiento GDPR Casi todos nosotros, los reguladores, seremos tan comprensivos si se han basado simplemente en cuestionarios y contratos.
Estarán atentos a que usted se haya comprometido y colaborado con su cadena de suministro y que tenga un mecanismo para demostrar que los estándares acordados/exigidos, o las políticas y controles específicos, están funcionando en la práctica y no solo en el papel.
Utilizar herramientas en línea, como ISMS.online le permite evidenciar la gestión eficaz de su cadena de suministro y cómo se integra con su gestión de riesgos, auditorías y controles.
Más allá de eso, le permite colaborar eficazmente en línea con proveedores clave, tomando una cliente responsable enfoque que ayuda incluso a los proveedores más pequeños a lograr las medidas de seguridad adecuadas. Alentarlos a tomar medidas positivas y pragmáticas, pero centradas en el riesgo, les permitirá proteger sus y sus activos de información en línea con sus propias políticas y controles.
Trabajando juntos pueden construir un SGSI y una cadena de suministro en la que todos puedan confiar.
Una sesión práctica adaptada a tus necesidades y objetivos.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez