Control 5.21 – Gestión de la seguridad de la información en la cadena de suministro de TIC

Orientación general sobre control 5.21

ISO estipula 13 puntos de orientación relacionados con las TIC que deben considerarse junto al cualquier otro control que dicte la relación de una organización con su(s) proveedor(es).

Dada la expansión de los servicios multiplataforma locales y en la nube durante la última década, Control 5.21 se ocupa del suministro de ambos. hardware y software-componentes y servicios relacionados (tanto locales como basados ​​en la nube) y rara vez establece una distinción entre los dos.

Además de la relación entre el proveedor y la organización, varios controles también abordan las obligaciones del proveedor cuando subcontrata elementos de la cadena de suministro a organizaciones de terceros.

1. Las organizaciones deben redactar un conjunto claro de seguridad de la información estándares que se aplican a sus necesidades individuales, para establecer expectativas claras sobre cómo deben comportarse los proveedores al entregar productos y servicios de TIC.
2. Si el proveedor de TIC subcontrata cualquier elemento de la cadena de suministro, el proveedor debe tomar medidas para garantizar que los contratistas y su personal estén plenamente familiarizados con los estándares únicos de seguridad de la información de la organización.
3. Si surge la necesidad de adquirir componentes (físicos o virtuales) comprados a un tercero, el proveedor debe difundir los requisitos de seguridad de la organización a cualquier vendedor o proveedor que él mismo utilice.
4. Se debe pedir a los proveedores que proporcionen información sobre la naturaleza y función de los componentes de software que utilizan para prestar un servicio a la organización.
5. Las organizaciones deben identificar las funciones de seguridad subyacentes de cualquier producto o servicio suministrado y cómo operar dicho producto o servicio de manera que no compromete la seguridad de la información.
6. Las organizaciones no deben dar por sentado los niveles de riesgo y redactar procedimientos que garanticen que cualquier producto o servicio que entregue un proveedor sea de naturaleza segura y cumpla con los estándares aceptados de la industria. Los métodos pueden incluir controles de certificación, pruebas internas y documentación de cumplimiento de respaldo.
7. Al recibir un producto o servicio, las organizaciones deben seguir un proceso que primero identifique y luego registre cualquier elemento que se considere esencial para mantener la funcionalidad principal, especialmente si esos componentes se originaron a partir de un acuerdo de subcontratación/subcontratación.
8. Los proveedores deben poder ofrecer garantías concretas de que los “componentes críticos” se benefician de un análisis exhaustivo. registro de auditoría que rastrea su movimiento a lo largo de la cadena de suministro de TIC, desde la creación hasta la entrega.
9. A medida que se entregan productos y servicios de TIC, las organizaciones deben buscar garantías categóricas de que dichos productos y servicios no solo operan dentro del alcance, sino que no contienen características adicionales que puedan presentar una garantía. riesgo de seguridad.
10. Las especificaciones de los componentes son clave para garantizar que una organización comprenda los componentes de hardware y software que introduce en su red. Los proveedores deben considerar medidas contra la manipulación durante todo el ciclo de vida del desarrollo, y las organizaciones deben exigir estipulaciones que verifiquen que los componentes sean legítimos en el momento de la entrega.
11. Se deben buscar garantías para confirmar que los productos TIC están alineados con los estándares industriales y/o específicos del sector. requerimientos de seguridad, según sea relevante para cada producto. Los métodos comunes para lograr esto incluyen lograr un nivel mínimo de certificación de seguridad formal o adherirse a un conjunto de estándares de información reconocidos internacionalmente (como el Acuerdo de Reconocimiento de Criterios Comunes) por producto.
12. Las organizaciones deben tomar medidas para garantizar que los proveedores son conscientes de sus obligaciones al compartir información y/o datos relacionados con la operación mutua de la cadena de suministro, incluido el reconocimiento de cualquier conflicto o problema potencial que pueda surgir entre ambas partes, y cómo tratarlos en origen.
13. Las organizaciones deben redactar procedimientos que gestionen el riesgo cuando operan con componentes no disponibles, sin soporte o heredados, dondequiera que residan. Cuando los componentes hayan caído en una de estas categorías, las organizaciones deberían poder adaptarse en consecuencia e identificar alternativas.

Orientación complementaria

Es importante señalar que la gobernanza de la cadena de suministro de TIC no debe tomarse de forma aislada, de acuerdo con este control. Control 5.21 está diseñado para complementar los procedimientos existentes de gestión de la cadena de suministro y ofrecer contexto para productos y servicios específicos de TIC.

ISO reconoce que, especialmente cuando se trata de componentes de software, el control de calidad dentro del ámbito de los productos y servicios de TIC no se extiende a la inspección granular del propio conjunto de procedimientos de cumplimiento del proveedor.

Como tal, se alienta a las organizaciones a identificar controles específicos del proveedor que verifiquen al proveedor como una “fuente confiable” y redactar acuerdos que establezcan categóricamente las obligaciones de seguridad de la información del proveedor, al cumplir un contrato, pedido o brindar un servicio.

Control 5.21 Cambios respecto a ISO 27002:2013

ISO 27002:2022-5.21 reemplaza a ISO 27002:2013-15.1.3 (Cadena de suministro de tecnologías de la información y las comunicaciones).

ISO 27002:2022-5.21 se adhiere al mismo conjunto de reglas de orientación generales que ISO 27002:2013-15.1.3, pero pone mucho mayor énfasis en la obligación del proveedor de proporcionar y verificar información relacionada con los componentes en el punto de suministro, que incluye:

• Proveedores TIC que proporcionan información sobre los componentes.
• Proveedores de TIC que describen las funciones de seguridad de un producto y la mejor manera de operarlo desde una perspectiva de seguridad.
• Garantías sobre los niveles de seguridad requeridos.

ISO 27002:2022-5.21 también solicita a la organización que cree información adicional específica de los componentes para aumentar los niveles generales de seguridad de la información al introducir productos y servicios, que incluyen:

• Identificar y documentar componentes que son cruciales para la funcionalidad principal del producto o servicio.
• Asegurar que los componentes sean genuinos e inalterados.

Cómo ayuda ISMS.online

At SGSI.online, hemos creado un sistema integral y fácil de usar que puede ayudarlo a implementar controles ISO 27002 y administrar todo su SGSI.

Nuestra plataforma basada en la nube ofrece:

• Un sistema de gestión de documentación fácil de usar y personalizar.
• Acceso a una biblioteca de plantillas de documentación pulidas y preescritas.
• Un proceso simplificado para la realización de auditorías internas.
• Un método eficaz para comunicarse con la dirección y las partes interesadas.
• Un módulo de flujo de trabajo para agilizar el proceso de implementación.

ISMS.online tiene todas estas características, y más.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.