El Control 5.19 se refiere a la obligación de una organización de garantizar que, al utilizar productos y servicios del lado del proveedor (incluidos los proveedores de servicios en la nube), se dé la consideración adecuada al nivel de riesgo inherente al uso de sistemas externos y el impacto consiguiente que puede tener en los suyos cumplimiento de la seguridad de la información.
5.19 es una control preventivo esa modifica el riesgo manteniendo procedimientos que aborden los riesgos de seguridad inherentes asociados con el uso de productos y servicios prestados por terceros.
Mientras que el Control 5.20 se ocupa de la seguridad de la información dentro de los acuerdos con los proveedores, el Control 5.19 se ocupa en términos generales del cumplimiento durante todo el curso de la relación.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Seguridad en las relaciones con proveedores | #Gobernanza y #Protección de Ecosistemas |
Empezamos usando hojas de cálculo y fue una pesadilla. Con la solución ISMS.online, todo el trabajo duro fue fácil.
Si bien el Control 5.19 contiene mucha orientación sobre el uso de servicios TIC, el alcance más amplio del control abarca muchos otros aspectos de la relación de una organización con su base de proveedores, incluidos los tipos de proveedores, logística, servicios públicos, servicios financieros y componentes de infraestructura.
Como tal, la propiedad del Control 5.19 debe recaer en un miembro de la alta dirección que supervise las operaciones comerciales de una organización y mantenga una relación directa con los proveedores de una organización, como un Director de Operaciones.
El cumplimiento del Control 5.19 implica adherirse a lo que se conoce como enfoque 'temático específico' a la seguridad de la información en las relaciones con proveedores.
Los enfoques temáticos específicos alientan a las organizaciones a crear políticas relacionadas con los proveedores que se adapten a funciones comerciales individuales, en lugar de adherirse a un marco general. política de gestión de proveedores que se aplica a todas y cada una de las relaciones con terceros a lo largo de la operación comercial de una organización.
Es importante tener en cuenta que el Control 5.19 solicita a la organización que implemente políticas y procedimientos que no solo rijan el uso de los recursos de los proveedores y las plataformas en la nube por parte de la organización, sino que también formen la base de cómo esperan que sus proveedores se comporten antes y durante la vigencia del contrato. la relación comercial.
Como tal, el Control 5.19 puede verse como el documento de calificación esencial que dicta cómo se maneja la gobernanza de la seguridad de la información durante el transcurso de un contrato con un proveedor.
El Control 5.19 contiene 14 puntos de orientación principales a seguir:
1) Mantener un registro preciso de los tipos de proveedores (por ejemplo, servicios financieros, hardware de TIC, telefonía) que tienen el potencial de afectar la integridad de la seguridad de la información.
Cumplimiento – Redacte una lista de todos y cada uno de los proveedores con los que trabaja su organización, clasifíquelos según su función comercial y agregue categorías a dichos tipos de proveedores cuando sea necesario.
2) Comprenda cómo examinar a los proveedores, según el nivel de riesgo inherente a su tipo de proveedor.
Cumplimiento – Los diferentes tipos de proveedores requerirán diferentes controles de diligencia debida. Considere el uso de métodos de verificación proveedor por proveedor (por ejemplo, referencias de la industria, estados financieros, evaluaciones in situ, certificaciones específicas del sector, como asociaciones con Microsoft).
3) Identifique proveedores que cuenten con controles de seguridad de la información preexistentes.
Cumplimiento – Solicite ver copias de los procedimientos de gobierno de seguridad de la información relevantes de los proveedores, para evaluar el riesgo para su propia organización. Si no tienen ninguno, no es buena señal.
4) Identifique y defina las áreas específicas de la infraestructura TIC de su organización a las que sus proveedores podrán acceder, monitorear o utilizar por sí mismos.
Cumplimiento – Es importante establecer desde el principio con precisión cómo van a interactuar sus proveedores con sus activos TIC (ya sean físicos o virtuales) y qué niveles de acceso se les conceden de acuerdo con sus obligaciones contractuales.
5) Defina cómo la propia infraestructura TIC de los proveedores puede afectar sus propios datos y los de sus clientes.
Cumplimiento – La primera obligación de una organización es cumplir con su propio conjunto de estándares de seguridad de la información. Los activos de TIC de los proveedores deben revisarse de acuerdo con su potencial para afectan el tiempo de actividad y la integridad en toda su organización.
6) Identificar y gestionar los distintos riesgos de seguridad de la información adjunto a:
a. Uso por parte del proveedor de información confidencial o activos protegidos (por ejemplo, limitado a uso malicioso y/o intención delictiva).
b. Hardware del proveedor defectuoso o plataforma de software que no funciona correctamente asociada con servicios locales o basados en la nube.
Cumplimiento – Las organizaciones deben estar continuamente conscientes de los riesgos de seguridad de la información asociados con eventos catastróficos, como actividades nefastas de los usuarios del lado del proveedor o incidentes de software importantes e imprevistos, y su impacto en la seguridad de la información de la organización.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
7) Supervise el cumplimiento de la seguridad de la información por tema específico o tipo de proveedor.
Cumplimiento – La necesidad de la organización de apreciar las implicaciones de seguridad de la información inherentes a cada tipo de proveedor y ajustar su actividad de monitoreo para adaptarse a los diferentes niveles de riesgo.
8) Limitar la cantidad de daño y/o interrupción causada por el incumplimiento.
Cumplimiento – La actividad del proveedor debe ser monitoreada de manera adecuada, y en distintos grados, de acuerdo con su nivel de riesgo. Cuando se descubre un incumplimiento, ya sea de forma proactiva o reactiva, se deben tomar medidas inmediatas.
9) Mantener un sólido procedimiento de gestión de incidentes que aborde una cantidad razonable de contingencias.
Cumplimiento – Las organizaciones deben entender con precisión cómo reaccionar cuando se enfrentan a una amplia gama de eventos relacionados con el suministro de productos y servicios de terceros, y delinear acciones correctivas que incluyan tanto al proveedor como a la organización.
10). Adoptar medidas que atiendan la disponibilidad y el procesamiento de la información del proveedor, dondequiera que se utilice, garantizando así la integridad de la propia información de la organización.
Cumplimiento – Se deben tomar medidas para garantizar que los sistemas y datos de los proveedores se manejen de una manera que no comprometa la disponibilidad y seguridad de los propios sistemas e información de la organización.
11). Redacte un plan de capacitación exhaustivo que ofrezca orientación sobre cómo el personal debe interactuar con el personal del proveedor e información proveedor por proveedor o tipo por tipo.
Cumplimiento – La capacitación debe cubrir todo el espectro de la gobernanza entre una organización y sus proveedores, incluido el compromiso, la granularidad. controles de gestión de riesgos y procedimientos temáticos específicos.
12). Comprender y gestionar el nivel de riesgo inherente al transferir información y activos físicos y virtuales entre la organización y sus proveedores.
Cumplimiento – Las organizaciones deben trazar cada etapa del proceso de transferencia y educar al personal sobre las riesgos asociados con el movimiento de activos e información de una fuente a otra.
13). Asegúrese de que las relaciones con los proveedores finalicen teniendo en cuenta la seguridad de la información, incluida la eliminación de los derechos de acceso y la capacidad de acceder a la información de la organización.
Cumplimiento – Sus equipos de TIC deben tener una comprensión clara de cómo revocar el acceso de un proveedor a la información, incluyendo:
14). Describa con precisión cómo espera que se comporte el proveedor con respecto a las medidas de seguridad físicas y virtuales.
Cumplimiento – Las organizaciones deben establecer expectativas claras desde el inicio de cualquier relación comercial, que especifiquen cómo se espera que se comporte el personal del proveedor al interactuar con su personal o cualquier activo relevante.
El único cumplimiento
solución que necesitas
Reserva tu demostración
ISO reconoce que no siempre es posible imponer un conjunto completo de políticas a un proveedor que cumpla con todos y cada uno de los requisitos de la lista anterior, como pretende el Control 5.19, especialmente cuando se trata de organizaciones rígidas del sector público.
Dicho esto, el Control 5.19 establece claramente que las organizaciones deben utilizar la guía anterior al establecer relaciones con proveedores y considerar el incumplimiento caso por caso.
Cuando no se puede lograr el cumplimiento total, el Control 5.19 da a las organizaciones margen de maniobra al recomendar "controles compensatorios" que logran niveles adecuados de gestión de riesgos, en función de las circunstancias únicas de una organización.
27002:2022-5.19 reemplaza a 27002:2013-5.1.1 (Política de seguridad de la información para las relaciones con proveedores).
27002:2022-5.19 se adhiere en términos generales a los mismos conceptos subyacentes contenidos en el control de 2013, pero contiene varias áreas de orientación adicionales que se omiten en 27002:2013-5.1.1 o, al menos, no se cubren con tanto detalle. incluido:
27002:2022-5.19 también es explícito al reconocer la naturaleza altamente variable de las relaciones con los proveedores (según el tipo, sector y nivel de riesgo) y brinda a las organizaciones un cierto grado de libertad al considerar la posibilidad de incumplimiento de cualquier punto de orientación determinado. según la naturaleza de la relación (consulte la 'Orientación complementaria' más arriba).
Usar SGSI.online usted puede:
Es una simple cuestión de crear una cuenta de prueba gratuita y seguir los pasos que le proporcionamos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
