ISO 27002:2022, Control 5.20: Abordar la seguridad de la información en los acuerdos con proveedores

Orientación general sobre control 5.20

El Control 5.20 contiene 25 puntos de orientación que según ISO “pueden considerarse” (es decir, no necesariamente todos) para cumplir con los requisitos de seguridad de la información de una organización.

Independientemente de las medidas que se adopten, el Control 5.20 establece explícitamente que ambas partes deben salir del proceso con un "claro entendimiento" de sus obligaciones mutuas en materia de seguridad de la información.

1. Se debe proporcionar una descripción clara que detalle la información a la que se debe acceder de cualquier manera y cómo se accederá a esa información.
2. La organización debería clasificar la información a la que se accederá de acuerdo con su esquema de clasificación publicado (ver Control 5.10, Control 5.12 y Control 5.13).
3. Se debe dar la debida consideración al esquema de clasificación del lado del proveedor y cómo se relaciona con la clasificación de la información de la organización.
4. Los derechos de ambas partes deben clasificarse en cuatro áreas principales: legal, estatutaria, regulatoria y contractual. Dentro de estas cuatro áreas, se deben delinear claramente varias obligaciones, como es estándar en los acuerdos comerciales, incluido el acceso a la PII, los derechos de propiedad intelectual y las estipulaciones de derechos de autor. El acuerdo también debe cubrir cómo se abordará cada una de estas áreas clave.
5. Cada parte debe estar obligada a promulgar una serie de controles simultáneos que monitoreen, evalúen y gestionen riesgo de seguridad de la información niveles (tales como políticas de control de acceso, revisiones contractuales, monitoreo de sistemas, informes y auditorías periódicas). Además, el acuerdo debe describir claramente la necesidad de que el personal del proveedor cumpla con los estándares de seguridad de la información de una organización (ver Control 5.20).
6. Debe haber una comprensión clara de lo que constituye un uso aceptable e inaceptable de la información y de los activos físicos y virtuales de cualquiera de las partes.
7. Se deben implementar procedimientos que aborden los niveles de autorización requeridos para que el personal del proveedor acceda o vea la información de una organización (por ejemplo, listas de usuarios autorizados, auditorías del proveedor, controles de acceso al servidor).
8. La seguridad de la información debe considerarse junto con la propia infraestructura de TIC del proveedor y cómo se relaciona con el tipo de información a la que la organización ha brindado acceso, la Criterios de riesgo y el conjunto básico de requisitos comerciales de la organización..
9. Se debe considerar qué cursos de acción puede tomar la organización en caso de incumplimiento de contrato por parte del proveedor o incumplimiento de estipulaciones individuales.
10. El acuerdo debe esbozar claramente un acuerdo mutuo. Procedimiento de Gestión de Incidentes que estipule claramente lo que debe suceder cuando surgen problemas, particularmente en lo que respecta a cómo se comunica el incidente entre ambas partes.
11. Se debe proporcionar personal de ambas partes. formación adecuada de sensibilización (cuando la formación estándar no sea suficiente) en áreas clave del acuerdo, específicamente en áreas clave de riesgo como la gestión de incidentes y la provisión de acceso a la información.
12. Se debe prestar la debida atención al uso de subcontratistas. Si al proveedor se le permite utilizar subcontratistas, las organizaciones deben tomar medidas para garantizar que dichas personas o empresas estén alineadas con el mismo conjunto de requisitos de seguridad de la información que el proveedor.
13. Cuando sea legalmente posible y operativamente relevante, las organizaciones deben considerar cómo se examina al personal de los proveedores antes de interactuar con su información, y cómo se registran y reportan las evaluaciones a la organización, incluido el personal no examinado y las áreas de preocupación.
14. Las organizaciones deben estipular la necesidad de certificaciones de terceros que verifiquen la capacidad del proveedor para cumplir con los requisitos de seguridad de la información de la organización, incluidos informes independientes y auditorías de terceros.
15. Las organizaciones deben tener el derecho contractual de evaluar y auditar los procedimientos de un proveedor, en relación con el Control 5.20.
16. Los proveedores deben tener la obligación de entregar informes (a intervalos variables) que cubran la efectividad de sus propios procesos y procedimientos, y cómo pretenden abordar cualquier problema planteado en dicho informe.
17. El acuerdo debe tomar medidas para garantizar la resolución oportuna y exhaustiva de cualquier defecto o conflicto que tenga lugar durante el curso de la relación.
18. Cuando sea relevante, el proveedor debe operar con una política BUDR sólida, en línea con las necesidades de la organización, que cubra tres consideraciones principales:
    
    a) Tipo de copia de seguridad (servidor completo, archivos y carpetas, etc., incremental, etc.)
    b) Frecuencia de respaldo (diaria, semanal, etc.)
    c) Ubicación de la copia de seguridad y medios de origen (en el sitio, fuera del sitio)
19. La resiliencia de los datos debe lograrse operando con una ubicación de recuperación ante desastres que esté separada del sitio principal de TIC del proveedor y no esté sujeta al mismo nivel de riesgo.
20. El proveedor debe operar con una política integral de gestión del cambio que notifica con antelación a la organización cualquier cambio que pueda afectar la seguridad de la información y proporciona a la organización la capacidad de rechazar dichos cambios.
21. Controles de seguridad física (acceso al edificio, acceso de visitantes, acceso a las habitaciones, seguridad de escritorio) deben promulgarse que sean relevantes al tipo de información a la que se les permite acceder.
22. Cuando surge la necesidad de transferir información entre activos, sitios, servidores o ubicaciones de almacenamiento, el proveedor debe garantizar que los datos y activos estén protegidos contra pérdidas, daños o corrupción durante todo el proceso.
23. El acuerdo debe describir una lista completa de las acciones que debe tomar cualquiera de las partes en caso de rescisión (ver también Control 5.20), que incluyen (pero no se limitan a):
    
    a) Enajenación y/o reubicación de activos
    b) Eliminación de información
    c) Devolución de propiedad intelectual
    d) Eliminación de derechos de acceso
    e) Obligaciones de confidencialidad continuas
24. Además del punto 23, el proveedor debe describir con precisión cómo pretende destruir/eliminar permanentemente la información de la organización en el momento en que ya no sea necesaria (es decir, en caso de rescisión).
25. Si, al finalizar un contrato, surge la necesidad de traspasar soporte y/o servicios a otro proveedor que no figura en el acuerdo, se toman medidas para garantizar que el proceso resulte en cero interrupciones del negocio.

Controles de apoyo

• 5.10
• 5.12
• 5.13
• 5.20

Orientación complementaria

Para ayudar a las organizaciones a gestionar las relaciones con los proveedores, el Control 5.20 establece que las organizaciones deben mantener un registro de acuerdos.

Los registros deben enumerar todos los acuerdos celebrados con otras organizaciones y clasificarlos según la naturaleza de la relación, como contratos, memorandos de entendimiento y acuerdos de intercambio de información.

Cambios y diferencias con respecto a ISO 27002:2013

ISO 27002:2022-5.20 reemplaza a 27002:2013-15.1.2 (Abordando la seguridad dentro de los acuerdos con proveedores).

ISO 27002:2022-5.20 contiene numerosas orientaciones adicionales que abordan una amplia gama de temas técnicos, legales y relacionados con el cumplimiento, que incluyen:

• Procedimientos de entrega
• Destrucción de información
• Cláusulas de rescisión
• Controles de seguridad física
• Gestión del cambio
• Copias de seguridad y redundancia de información

En términos generales, ISO 27002:2022-5.20 pone mucho mayor énfasis en lo que ocurre al final de una relación con un proveedor y asigna mucha más importancia a cómo un proveedor logra la redundancia y la integridad de los datos durante el transcurso de un acuerdo.

Cómo ayuda ISMS.online

ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.