Construyendo relaciones estables y seguras con los proveedores con ISO 27001

Si le pregunta a Mark Graham, nuestro director de Normas ISO, sobre los beneficios de ISO 27001, hay un punto que siempre termina destacando. ISO 27001, y de hecho toda la familia ISO 27000, son mucho más que solo seguridad de la información. Ellos te ayudarán:

  • Dirige bien tu organización
  • Piense en todo lo que podría impedirle gestionar bien su organización.

Por supuesto, eso no siempre es obvio. Pero a veces simplemente te salta a la vista. Anexo A.15 de la Norma ISO 27001 es uno de esos momentos. Se trata de asegurar y fortalecer la capacidad de su organización. relaciones con proveedores.

Entonces un proveedor se equivoca. ¿Que es lo peor que puede pasar?

En 2017, uno de los sistemas informáticos de una de las grandes aerolíneas colapsó. 75,000 clientes quedaron varados. Los aviones quedaron dando vueltas en el aire. La aerolínea perdió £170 millones y se enfrentó a una factura de compensación de más de £150 millones. Y fue una catástrofe reputacional.

La causa fundamental del incidente fue un corte de energía interna. Los observadores bien informados creen que se convirtió en un desastre porque la aerolínea había subcontratado recientemente algunas de sus operaciones de TI. Su nuevo proveedor los decepcionó y sus plan de recuperación de desastres ha fallado.

Nadie recuerda al proveedor. La mayoría de la gente ni siquiera sabe que existen. Pero debido a ellos, la aerolínea sufrió graves daños financieros y de reputación. Ese es el tipo de daño que la mayoría de las empresas harían mucho por evitar. Ahí es donde el Anexo A.15 le ayudará.

Fortalecer las relaciones con sus proveedores

El anexo A.15 es bastante breve, pero puede tener un impacto muy grande. Necesita que se asegure de que:

  • Está protegiendo cualquier activo de información al que puedan acceder sus proveedores
  • Continuarán brindando todos los servicios que acordaron, pase lo que pase.

¡Puedes ver cómo eso habría ayudado a nuestra aerolínea afectada! Y aunque no lo estés Cumple o está certificado con la norma ISO 27001, puede utilizar el Anexo A.15 para ayudarle a realizar algunas comprobaciones de proveedores muy importantes.

Protegiendo sus activos de información

Es posible que esté compartiendo activos de información con sus proveedores. Si ese es el caso, deberías:

  • Descubra cómo sus proveedores pueden acceder de forma segura a sus activos de información
  • Acuerde ese proceso con ellos, asegurándose de que comprendan cada parte del mismo.
  • Documente el proceso de una manera que sea de fácil acceso para usted y para ellos.
  • Incluya sus requisitos de seguridad de la información en sus acuerdos formales con ellos.

Y, al igual que la aerolínea, probablemente tendrás organizaciones suministro de TIC productos o servicios. Deberá asegurarse de que todo lo que le proporcionen también cumpla con sus requisitos de seguridad de la información.

Asegurarse de que sus proveedores siempre cumplan

ISO 27001 se trata realmente de Gestión sistemática del riesgo, . Y sus proveedores pueden ser un riesgo clave. Es mejor asumir que algunos de ellos, en algún momento, te decepcionarán. Para compensar esto, la norma pide que los vigiles de cerca. Debería:

  • Mantén una vigilancia general sobre ellos.
  • Verifique periódicamente que estén entregando a tiempo y en su totalidad.
  • De vez en cuando, evalúelos adecuadamente con respecto a:
    • Acuerdo existente con ellos.
    • Necesidades cambiantes y otras circunstancias.

Eso podría provocar cambios en su relación con ellos. ISO 27001 le recomienda tener un proceso claro para realizar y gestionar esos cambios. En particular, céntrese en:

Podría parecer un consejo muy básico y de sentido común. Pero puede ahorrarle a usted y a su organización mucho tiempo, dinero, daños a su reputación y frustración. Después de todo, el sentido común no siempre es tan común como parece.

Asegurar su cadena de suministro y su reputación

La reputación de su organización es uno de sus activos más importantes. Probablemente trabaje duro para defenderlo y construirlo. Pero un momento de descuido por parte de alguien completamente ajeno a su organización puede dañarla o incluso destruirla.

Por eso es necesario vigilar de cerca a sus proveedores. Y también será bueno para ellos. Querrán que usted se asegure de brindar el mejor servicio posible de la mejor manera posible. Y si no lo hacen, probablemente esa sea la señal para empezar a buscar a otra persona.

Esperamos que la guía ISO 27001 que hemos resumido anteriormente le ayude con todo el proceso. Y esperamos que le haya ayudado a comprender un poco más el estándar y ver cómo puede aportar algunos beneficios muy prácticos a su organización.

« Cómo desarrollar un inventario de activos para ISO 27001

¿Qué implica una auditoría ISO 27001? »

Última edición: 2 de febrero de 2022
Autor

al robertson

Al es un escritor profesional y autor publicado que cubre una variedad de temas. Ha escrito una variedad de artículos sobre cumplimiento y especialmente sobre seguridad de la información y cómo la certificación ISO 27001 puede ayudar a las organizaciones a crecer.

Ver todas las publicaciones de Al Robertson

Artículos Relacionados

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más