ISO 27001 – Anexo A.15: Relaciones con proveedores

¿Cuál es el objetivo del Anexo A.15.1?

El Anexo A.15.1 trata sobre la seguridad de la información en las relaciones con los proveedores. El objetivo aquí es la protección de los activos valiosos de la organización que son accesibles o afectados por los proveedores.

También le recomendamos que considere otras relaciones clave, por ejemplo, socios si no son proveedores pero también tienen un impacto en sus activos que podría no estar cubierto simplemente por un contrato.

A.15.1.1 Política de Seguridad de la Información para las Relaciones con Proveedores

Los proveedores se utilizan por dos razones principales; uno: quieres que hagan un trabajo que has elegido no hacer internamente, o; Dos: no es fácil hacer el trabajo tan bien o tan rentablemente como los proveedores.

Hay muchas cosas importantes a considerar al abordar la selección y gestión de proveedores, pero una solución única no sirve para todos y algunos proveedores serán más importantes que otros. Como tal, sus controles y políticas también deberían reflejar eso y una segmentación de la cadena de suministro es sensata; Abogamos por cuatro categorías de proveedores según el valor y el riesgo de la relación. Estos van desde aquellos que son críticos para el negocio hasta otros proveedores que no tienen ningún impacto material en su organización.

Algunos proveedores también son más poderosos que sus clientes (imagínese decirle a Amazon qué hacer si está utilizando sus servicios de AWS para alojamiento), por lo que no tiene sentido tener controles y políticas que los proveedores no cumplan. Por lo tanto, es más probable que se dependa de sus políticas, controles y acuerdos estándar, lo que significa que la selección de proveedores y la gestión de riesgos se vuelven aún más importantes.

Para adoptar un enfoque más avanzado hacia la seguridad de la información en la cadena de suministro con los proveedores más estratégicos (alto valor/mayor riesgo), las organizaciones también deben evitar prácticas binarias de transferencia de riesgos de 'cumplir o morir', por ejemplo, contratos horribles que impiden una buena colaboración. En su lugar, recomendamos que desarrollen relaciones de trabajo más estrechas con aquellos proveedores donde la información y los activos de alto valor están en riesgo, o están agregando a sus activos de información de alguna manera (positiva). Es probable que esto conduzca a mejores relaciones laborales y, por lo tanto, también proporcione mejores resultados comerciales.

Una buena política describe la segmentación, selección, gestión, salida de proveedores y cómo se controlan los activos de información alrededor de los proveedores para mitigar los riesgos asociados y, al mismo tiempo, permitir que se alcancen las metas y objetivos comerciales. Las organizaciones inteligentes envolverán su política de seguridad de la información para proveedores en un marco de relaciones más amplio y evitarán concentrarse sólo en la seguridad per se, examinando también otros aspectos.

Una organización puede querer que los proveedores accedan y contribuyan a ciertos activos de información de alto valor (por ejemplo, desarrollo de códigos de software, información contable de nómina). Por lo tanto, necesitarían tener acuerdos claros sobre exactamente qué acceso les permiten, para poder controlar la seguridad a su alrededor. Esto es especialmente importante dado que cada vez se subcontratan más servicios de gestión, procesamiento y tecnología de la información. Eso significa tener un lugar para mostrar que se está gestionando la relación; contratos, contactos, incidentes, actividad de relaciones y gestión de riesgos, etc. Cuando el proveedor también esté íntimamente involucrado en la organización, pero no tenga su propio SGSI certificado, entonces asegúrese de que el personal del proveedor esté capacitado y sea consciente de la seguridad, capacitado en sus políticas, etc. También vale la pena demostrar el cumplimiento.

A.15.1.2 Abordar la seguridad en los acuerdos con proveedores

Todos los requisitos de seguridad de la información relevantes deben existir con cada proveedor que tenga acceso o pueda afectar la información de la organización (o los activos que la procesan). Una vez más, esto no debería ser una solución única para todos: adopte un enfoque basado en el riesgo en torno a los diferentes tipos de proveedores involucrados y el trabajo que realizan. Trabajar con proveedores que ya satisfacen la mayoría de las necesidades de seguridad de la información de su organización para los servicios que le brindan y que tienen un buen historial de abordar los problemas de seguridad de la información de manera responsable es una muy buena idea, ya que hará que todos estos procesos sean mucho más fáciles.

En términos simples, busque proveedores que ya hayan obtenido una certificación independiente ISO 27001 o equivalente. También es importante garantizar que los proveedores estén informados y comprometidos con cualquier cambio en el SGSI o específicamente involucrados en las partes que afectan sus servicios. Su auditor querrá que esto quede demostrado, por lo que será fácil hacerlo si mantiene un registro de esto en sus proyectos de incorporación de proveedores o en sus revisiones anuales.

Las cosas a incluir en el alcance y los acuerdos de suministro generalmente incluyen: el trabajo y su alcance; información en riesgo y clasificación; requisitos legales y reglamentarios, por ejemplo, cumplimiento del RGPD u otra legislación aplicable; informes y revisiones; no divulgación; derechos de propiedad intelectual; administracion de incidentes; políticas específicas a cumplir si son importantes para el acuerdo; obligaciones de los subcontratistas; evaluación del personal, etc.

Un buen contrato estándar abordará estos puntos, pero como se indicó anteriormente, a veces puede no ser necesario y puede ser muy exagerado para el tipo de suministro, o puede que no sea posible obligar a un proveedor a seguir su idea de buenas prácticas. . Sea pragmático y centrado en el riesgo en el enfoque. Este objetivo de control también está estrechamente relacionado con el Anexo A.13.2.4, donde los acuerdos de confidencialidad y no divulgación son el enfoque principal.

A.15.1.3 Cadena de suministro de tecnologías de la información y las comunicaciones

Un buen control se basa en A.15.1.2 y se centra en los proveedores de TIC que pueden necesitar algo adicional o en lugar del enfoque estándar. ISO 27002 aboga por numerosas áreas de implementación y, si bien todas ellas son buenas, también se necesita algo de pragmatismo. La organización debería reconocer nuevamente su tamaño en comparación con algunos de los grandes proveedores con los que a veces trabajará (por ejemplo, centros de datos y servicios de alojamiento, bancos, etc.), lo que podría limitar su capacidad de influir en las prácticas más avanzadas en la cadena de suministro. La organización debe considerar cuidadosamente qué riesgos pueden existir según el tipo de servicios de tecnología de la información y las comunicaciones que se brindan. Por ejemplo, si el proveedor es un proveedor de servicios de infraestructura crítica y tiene acceso a información confidencial (por ejemplo, el código fuente del servicio de software emblemático), debe garantizar que haya una mayor protección que si el proveedor simplemente estuviera expuesto a información disponible públicamente (por ejemplo, un sitio web sencillo).

¿Cuál es el objetivo del Anexo A.15.2?

El anexo A.15.2 trata sobre la gestión del desarrollo de servicios del proveedor. El objetivo de este control del Anexo A es garantizar que se mantenga un nivel acordado de seguridad de la información y prestación de servicios de acuerdo con los acuerdos con los proveedores.

A.15.2.1 Monitoreo y revisión de los servicios del proveedor
Un buen control se basa en A15.1 y describe cómo las organizaciones monitorean, revisan y auditan periódicamente la prestación de servicios de sus proveedores. Es mejor realizar revisiones y monitoreo basándose en la información en riesgo, ya que un enfoque único no sirve para todos. La organización debe intentar realizar sus revisiones en línea con la segmentación de proveedores propuesta para, por lo tanto, optimizar sus recursos y asegurarse de que centran sus esfuerzos en monitorear y revisar donde tendrá el mayor impacto. Al igual que con A15.1, a veces existe la necesidad de pragmatismo: no necesariamente obtendrá una auditoría, una revisión de las relaciones humanas y mejoras de servicio dedicadas con AWS si es una organización muy pequeña. Sin embargo, puede verificar (digamos) que sus informes SOC II publicados anualmente y que las certificaciones de seguridad sigan siendo adecuadas para su propósito.

La evidencia del monitoreo debe completarse en función de su poder, riesgos y valor, permitiendo así que su auditor pueda ver que se ha completado y que los cambios necesarios se han gestionado a través de un proceso formal de control de cambios.

A.15.2.2 Gestión de cambios en los servicios del proveedor

Un buen control describe cómo se gestiona cualquier cambio en la prestación de servicios por parte de los proveedores, incluido el mantenimiento y la mejora de las políticas, procedimientos y controles de seguridad de la información existentes. Tiene en cuenta la criticidad de la información empresarial, la naturaleza del cambio, los tipos de proveedores afectados, los sistemas y procesos involucrados y una reevaluación de riesgos. Los cambios en los servicios de los proveedores también deben tener en cuenta la intimidad de la relación y la capacidad de la organización para influir o controlar el cambio en el proveedor.

¿Cómo ayuda ISMS.online con las relaciones con los proveedores?

ISMS.online ha hecho que este objetivo de control sea muy fácil al proporcionar evidencia de que sus relaciones se eligen cuidadosamente y se administran bien en la vida, incluido el seguimiento y la revisión. Nuestra área de relaciones de cuentas (por ejemplo, proveedores), fácil de usar, hace precisamente eso. Los espacios de trabajo de proyectos colaborativos son ideales para la incorporación de proveedores importantes, iniciativas conjuntas, bajas, etc., todo lo cual el auditor también puede ver con facilidad cuando sea necesario.

ISMS.online también ha facilitado este objetivo de control para su organización al permitirle proporcionar evidencia de que el proveedor se ha comprometido formalmente a cumplir con los requisitos y ha comprendido sus responsabilidades en materia de seguridad de la información a través de nuestros Paquetes de Políticas. Los paquetes de políticas son ideales cuando la organización tiene políticas y controles específicos que quiere que el personal del proveedor siga y confía en que los ha leído y se ha comprometido a cumplirlos, más allá de los acuerdos más amplios entre cliente y proveedor.