Ir al contenido
SGSI.online

A.5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC: control ascendente y descendente del MSP

Los MSP se enfrentan a una exposición sin precedentes en la cadena de suministro de TIC. Un solo eslabón débil, ya sea una plataforma en la nube, una herramienta o un socio, puede afectar a muchos clientes a la vez. El Anexo A.5.21 de la norma ISO 27001 convierte estas complejas dependencias en controles visibles y auditables, generando confianza con clientes, juntas directivas y organismos reguladores. Asegure su negocio con evidencia, no con suposiciones.

Autor
Marcos Sharron
Actualizado diciembre 1, 2025
Estrellas 4 / 5

Por qué las cadenas de suministro de MSP son ahora su mayor superficie de ataque

Los proveedores modernos de servicios gestionados se enfrentan a un riesgo creciente proveniente de las cadenas de suministro de TIC, no solo de sus propios centros de datos. Las herramientas, plataformas y socios upstream pueden convertirse en puntos de fallo únicos que, al verse comprometidos o no estar disponibles, afectan a numerosos clientes y servicios simultáneamente. El Anexo A.5.21 le ayuda a comprender estas dependencias, a acordar expectativas de seguridad claras con proveedores y clientes, y a tratar el riesgo de la cadena de suministro como una parte deliberada de su SGSI, en lugar de una consideración posterior.

Para muchos proveedores de servicios gestionados, la cadena de suministro de herramientas, plataformas y socios de la que dependen se ha convertido en uno de los componentes más riesgosos de su entorno, junto con su propio centro de datos. Estos componentes compartidos sustentan sus ingresos, sus contratos y sus compromisos regulatorios. Cuando uno de ellos falla o se ve comprometido, el impacto puede repercutir en muchos clientes en cuestión de horas. Por eso, el Anexo A.5.21 es fundamental para convertir esa red de dependencias en algo que diseñe y gestione conscientemente.

Los MSP modernos heredan el riesgo de la naturaleza multiinquilino de las plataformas de gestión remota, los servicios en la nube, los proveedores de identidad y las herramientas especializadas que se interponen entre usted y sus clientes. Un solo ataque ascendente puede otorgar a un atacante acceso privilegiado a una gran parte de su base de clientes. De igual manera, una interrupción en una plataforma central puede dejar a varios clientes sin conexión a la vez, independientemente de la calidad de su infraestructura.

Las cadenas de suministro sólidas comienzan con saber de quién dependemos realmente.

La nueva realidad del riesgo en la cadena de suministro de MSP

La nueva realidad para los MSP es que los atacantes y las interrupciones ahora se propagan a través de plataformas TIC compartidas con mayor rapidez que a través de las redes individuales de los clientes. Al integrar herramientas de gestión remota, servicios en la nube, plataformas de identidad y productos de seguridad en sus ofertas, cada componente compartido se convierte en un posible punto único de fallo. El Anexo A.5.21 está diseñado para ayudarle a reconocer esta realidad y a establecer controles proporcionales.

Los MSP modernos heredan la mayor parte del riesgo de su cadena de suministro de las plataformas en la nube, las herramientas SaaS y los subcontratistas que integran en sus servicios. A medida que se crean nuevas ofertas, es natural seguir añadiendo plataformas especializadas, herramientas de monitorización, proveedores de copias de seguridad y servicios de seguridad, además de un conjunto básico de capacidades.

El informe Estado de la seguridad de la información 2025 muestra que la mayoría de las organizaciones experimentaron al menos un incidente de seguridad durante el último año que se originó por un tercero o proveedor.

Con el tiempo, este crecimiento crea densas cadenas de dependencia multinivel: herramientas de monitorización remota en la nube pública, plataformas de identidad vinculadas a los inquilinos de los clientes, proveedores de copias de seguridad que replican datos entre regiones y herramientas de seguridad especializadas integradas mediante API. Los atacantes no necesitan atacar a cada cliente individualmente. Comprometer un servicio ascendente puede otorgar acceso privilegiado a numerosos entornos gestionados o permitir que el ransomware se propague rápidamente entre clientes que comparten las mismas herramientas. Los análisis de incidentes en la cadena de suministro de software describen exactamente este patrón, donde la vulneración de un proveedor o componente ampliamente utilizado puede afectar a un gran número de organizaciones descendentes a la vez (análisis de ataques a la cadena de suministro de software).

Las interrupciones se comportan de la misma manera. Un fallo en un proveedor de identidad central o en una pila de gestión remota puede dejar fuera de servicio a varios clientes, generar penalizaciones contractuales y atraer la atención regulatoria, incluso si su propia infraestructura no se ve afectada. Las directrices del sector sobre la evaluación y la gestión de riesgos de ciberseguridad en la cadena de suministro suelen destacar cómo la interrupción o la vulneración de servicios compartidos de nube o identidad puede provocar interrupciones simultáneas y un impacto comercial en muchos clientes, así como consecuencias contractuales y regulatorias para los proveedores que dependen de ellos (resumen de riesgos de ciberseguridad en la cadena de suministro). El Anexo A.5.21 se centra específicamente en ese radio de acción combinado de vulnerabilidades técnicas y contractuales, no solo en vulnerabilidades aisladas.

Las métricas de seguridad de muchos MSP no se han adaptado a este cambio. Los equipos aún monitorean los eventos perimetrales, las tasas de aplicación de parches y las alertas de endpoints, pero tienen poca visibilidad de las vulnerabilidades heredadas o los incidentes provocados por los proveedores. Sin una visión clara de las dependencias ascendentes y sus perfiles de riesgo, se está operando a ciegas en los puntos donde es más probable que se produzcan fallos. Por eso, se necesitan vistas de la cadena de suministro dentro del SGSI, en lugar de solo métricas de red.

Dónde la visibilidad realmente falla

La visibilidad suele fallar en la cadena de suministro "en la sombra": herramientas, servicios y socios que se introdujeron fuera de las compras formales. Estas decisiones, que en su momento parecen puntuales, se convierten en parte de su mapa de dependencia permanente.

La mayoría de los MSP pueden enumerar de memoria a sus principales proveedores, pero pocos pueden mostrar una imagen completa de en quién y en qué confían realmente. Los servicios freemium adoptados por ingenieros, las herramientas piloto "temporales" que nunca finalizaron y las plataformas exigidas por el cliente que usted aceptó soportar contribuyen a esa capa oculta.

El problema radica en que a los atacantes y reguladores no les importa si una dependencia se aprobó formalmente o se adoptó discretamente. Si una vulnerabilidad se transmite a través de ella a sus entornos gestionados, los clientes seguirán esperando respuestas de usted. El Anexo A.5.21 trata estas relaciones como dentro del alcance. Espera que usted las incorpore en su mapa de la cadena de suministro, las clasifique y decida qué significa "suficientemente seguro" para cada una en función del riesgo.

Un primer paso práctico es mapear el radio de acción de sus componentes compartidos más críticos. Para cada herramienta o plataforma principal, calcule cuántos clientes, qué tipos de datos y qué servicios dependen de ella. Ver que una única plataforma de gestión remota sustenta una parte significativa de sus ingresos suele ser el momento en que el riesgo de la cadena de suministro deja de ser abstracto y empieza a exigir controles estructurados.

Por qué su junta directiva debería preocuparse tanto como sus ingenieros

La junta directiva y la alta dirección deben considerar la seguridad de la cadena de suministro de TIC como un asunto de gobernanza, no solo como una preocupación técnica para los ingenieros. Clientes, aseguradoras y organismos reguladores preguntan cada vez más cómo se identifican, evalúan y controlan los riesgos de TI de terceros y subcontratados, y esperan respuestas coherentes que trasciendan al equipo de seguridad. Los organismos del sector que supervisan las amenazas a la cadena de suministro de software y TIC observan que las partes interesadas externas prestan mayor atención a cómo las organizaciones gestionan los riesgos de terceros, no solo a las tecnologías que implementan (creciente amenaza de ataques a la cadena de suministro de software).

Según la encuesta ISMS.online de 2025, los clientes esperan cada vez más que los proveedores se alineen con marcos formales como ISO 27001, ISO 27701, GDPR o SOC 2 en lugar de confiar en afirmaciones genéricas de buenas prácticas.

Cuando las partes interesadas se dan cuenta de que sus servicios gestionados se superponen a los de otros proveedores que podrían ser objetivos, buscan pruebas de que usted comprende y gestiona esos vínculos. La seguridad de la cadena de suministro se convierte en un tema de máxima importancia para la dirección, ya que las fallas en este ámbito pueden provocar interrupciones del negocio, escrutinio regulatorio y, al mismo tiempo, daños a la reputación.

El liderazgo generalmente necesita garantías de que:

  • Se identifican las herramientas y los socios críticos, se evalúan los riesgos y se los vincula contractualmente para cumplir con las expectativas de seguridad.
  • La organización entiende qué clientes y servicios podrían verse afectados por fallas particulares en la fase inicial.
  • Existen manuales probados para incidentes con proveedores que cubren la respuesta técnica, la comunicación y las obligaciones contractuales.

Sin esa garantía, las preguntas difíciles llegan a la sala de juntas en el peor momento posible: durante una interrupción, una brecha de seguridad o una auditoría. Considerar el Anexo A.5.21 como la columna vertebral formal de la garantía de su cadena de suministro de TIC ofrece a los líderes una base sólida y confiable, en lugar de explicaciones improvisadas bajo presión.

Contacto


Anexo A.5.21 y la nueva definición de garantía de la cadena de suministro de las TIC

El Anexo A.5.21 le solicita acordar, documentar y mantener expectativas adecuadas de seguridad de la información con los proveedores y clientes de TIC de los que depende. En la práctica, debe saber en quién confía, qué espera de ellos, qué esperan ellos de usted y cómo se verifican esas expectativas a lo largo del tiempo. Para un MSP, esto significa reconocer que participa en las cadenas de suministro de TIC de muchos clientes, además de gestionar la suya propia. Esto refleja la descripción del control A.5.21 en la norma ISO/IEC 27001:2022 en su catálogo de controles de seguridad de la información para cadenas de suministro de TIC (resumen de la norma ISO/IEC 27001:2022).

Casi todas las organizaciones que participaron en la encuesta ISMS.online de 2025 mencionaron la obtención o el mantenimiento de certificaciones de seguridad como ISO 27001 o SOC 2 como una máxima prioridad.

Si se toma en serio, el Anexo A.5.21 transforma el aseguramiento de la cadena de suministro de TIC de la intuición a la práctica documentada y basada en el riesgo. Se basa en la amplia gama de controles del Anexo A para las relaciones con los proveedores, los contratos y la supervisión, y los aplica específicamente a los productos y servicios de TIC. Comprender su integración con los Anexos A.5.19, A.5.20 y A.5.22 le proporciona un marco para lograrlo sin tener que reinventar por completo su SGSI.

Una plataforma ISMS integrada como ISMS.online puede ayudarle a mantener esa imagen en un solo lugar al vincular proveedores, clientes, servicios, riesgos y controles del Anexo A para que sean fáciles de revisar y actualizar a medida que su negocio evoluciona.

Esta información es general y no constituye asesoramiento legal; las organizaciones deben buscar orientación profesional adecuada para tomar decisiones regulatorias.

Qué espera realmente el Anexo A.5.21

El Anexo A.5.21 espera que se considere la seguridad de la cadena de suministro de TIC como una responsabilidad continua y compartida, en lugar de una cláusula contractual única. Esto refuerza la idea de que las expectativas deben basarse en el riesgo, documentarse y mantenerse a lo largo del tiempo, en lugar de asumirse o establecerse una sola vez y olvidarse. Para los MSP, esto implica diseñar expectativas previas y posteriores, y verificar que sigan siendo coherentes a medida que cambian los servicios y los riesgos.

El Anexo A.5.21 se encuentra junto a tres controles estrechamente relacionados:

  • A.5.19, que cubre las políticas para las relaciones con los proveedores.
  • A.5.20, que se centra en garantizar que la seguridad de la información se aborde en los acuerdos con los proveedores.
  • A.5.22, que trata del seguimiento, revisión y gestión de cambios de los servicios de los proveedores.

En conjunto, estos controles se pueden interpretar, en términos cotidianos, como: identificar su cadena de suministro de TIC, definir los requisitos de seguridad de la información que espera de ella, integrar dichos requisitos en la selección, contratación y supervisión de proveedores, y mantener la supervisión a medida que cambian los servicios. El Anexo A.5.21 es donde se aborda específicamente este tema en relación con los servicios y productos de TIC, tanto en las fases iniciales como finales. Estos títulos y agrupaciones de controles siguen la estructura publicada en la norma ISO/IEC 27001:2022, que establece los controles del Anexo A y sus áreas de enfoque para la seguridad de los proveedores y de la cadena de suministro de TIC (resumen de la norma ISO/IEC 27001:2022).

Para un MSP, existe una característica adicional. Usted es a la vez cliente y proveedor. Depende de los servicios de TIC de las etapas iniciales para entregar sus ofertas y es un proveedor crucial en las cadenas de suministro de TIC de sus clientes. El Anexo A.5.21 espera que gestione ambas partes de forma coherente, de forma que refleje el riesgo y se integre en los procesos cotidianos, no en documentos aislados.

Convertir el texto estándar en algo que todos puedan entender

Es más probable que sus equipos se involucren si traduce el lenguaje del estándar a un conjunto reducido de compromisos claros y prácticos. Estos compromisos deben describir lo que realmente hace, en términos que los ingenieros, gerentes de cuentas y equipos legales reconozcan, en lugar de citar el estándar.

Se podría reformular el Anexo A.5.21 como compromisos tales como:

  • “Investigamos y clasificamos a los proveedores y plataformas de TIC en los que confiamos y los utilizamos cuando cumplen los criterios de seguridad acordados”.
  • “Definimos y documentamos quién es responsable de qué medidas de seguridad en cada servicio gestionado que vendemos”.
  • “Monitoreamos a proveedores y servicios clave a lo largo del tiempo y respondemos con rapidez y transparencia cuando algo cambia o sale mal”.

Una vez que tenga estas traducciones, será mucho más fácil ver dónde ya cuenta con partes del Anexo A.5.21, como verificaciones de incorporación de proveedores, plantillas de contrato o revisiones periódicas. También se destaca dónde las prácticas son improvisadas, no están documentadas o dependen de personal individual. Este mapeo le proporciona un punto de partida para el trabajo de diseño más detallado, tanto previo como posterior.

El Anexo A.5.21 espera que sus requisitos sean proporcionales al riesgo, en lugar de copiarse ciegamente de una relación a otra. Los proveedores y clientes de alto impacto suelen requerir una mayor diligencia y obligaciones más estrictas que los de bajo impacto, y este mismo principio hace que sus contratos posteriores sean más defendibles ante los reguladores y auditores.

El control no implica que deba imponer expectativas de seguridad idénticas y detalladas a cada proveedor o cliente. Requiere que justifique sus expectativas en función del riesgo. Una plataforma en la nube crítica que aloja datos de clientes requiere una diligencia debida más exhaustiva, cláusulas contractuales más rigurosas y una supervisión más intensiva que una herramienta no crítica y de bajo riesgo.

La misma lógica se aplica en sentido descendente. Un servicio gestionado prestado a un hospital o institución financiera conlleva obligaciones y un escrutinio diferentes a los de uno prestado a una pequeña empresa no regulada. Su implementación del Anexo A.5.21 es creíble cuando esas diferencias son visibles en sus evaluaciones de riesgos y en la forma en que estructura los acuerdos, no cuando todas las relaciones utilizan un texto copiado, independientemente del impacto.

Alinear el Anexo A.5.21 con los marcos que ya utiliza, como SOC 2, las directrices reconocidas de ciberseguridad o las recomendaciones nacionales para la cadena de suministro, puede ser útil. Las directrices de mejores prácticas para la cadena de suministro, elaboradas por proveedores y profesionales de seguridad, le animan a establecer objetivos de control comunes en normas como ISO 27001, SOC 2 y los marcos nacionales de ciberseguridad, para que los equipos no mantengan múltiples conjuntos de requisitos contradictorios (resumen de las prácticas de seguridad para la cadena de suministro). En este contexto, la «clasificación» simplemente significa agrupar a proveedores y clientes en unos pocos niveles basados ​​en el impacto, en lugar de tratar cada relación como única.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Comenzar


Controles ascendentes y descendentes en un contexto de MSP

En un MSP, la parte "upstream" abarca a los proveedores, plataformas y subcontratistas de los que depende, mientras que la parte "downstream" abarca a los clientes e inquilinos que dependen de usted. El Anexo A.5.21 es más fácil de implementar cuando se tratan estas relaciones como distintas pero vinculadas, con responsabilidades y expectativas claras en cada dirección. Esta estructura convierte las preocupaciones abstractas de la cadena de suministro en contratos, guías y paneles de control que permiten actuar.

Un modelo claro de flujo ascendente y descendente convierte el texto estándar en contratos, manuales de procedimientos y paneles de control viables. Permite definir cómo seleccionar y supervisar a los proveedores, cómo compartir la responsabilidad con los clientes y cómo responder ante incidentes en cualquier dirección. Una vez que esta estructura existe en papel, su implementación en herramientas y comportamiento se vuelve mucho más sencilla.

Definición de relaciones ascendentes, descendentes e híbridas

Su primera tarea es identificar y clasificar las relaciones externas de las que depende, en lugar de tratarlas como "proveedores" o "clientes" genéricos. Esta clasificación determina qué partes del Anexo A.5.21 son más aplicables y dónde enfocar su esfuerzo de diseño. Además, crea un lenguaje común dentro de su organización al abordar el riesgo de la cadena de suministro.

Comience enumerando a los proveedores externos y clasificándolos según dos criterios: ¿le suministran a usted o usted a ellos? ¿Qué tan importantes son para sus servicios? Un proveedor de TIC de nivel superior podría ser un proveedor de infraestructura en la nube, una herramienta de monitorización remota, una plataforma de copias de seguridad o un socio especializado en seguridad. Los proveedores de nivel inferior son sus clientes de servicios gestionados, incluidos aquellos en los que usted actúa como encargado del tratamiento de datos según la legislación de protección de datos.

Algunas relaciones son híbridas. Un MSP similar en un acuerdo de gestión conjunta le proporciona ciertas capacidades y, a cambio, depende de sus servicios. Un cliente que aloja su propio inquilino en la nube, pero le pide que lo administre, difumina la línea entre la plataforma del cliente y el entorno upstream. Estos híbridos requieren especial cuidado, ya que es fácil que ambas partes asuman responsabilidades importantes, o ninguna de ellas.

Una vez registrados estos roles, puede empezar a definir qué categorías de controles se aplican a cada rol. En las relaciones ascendentes, la diligencia debida, la integración técnica segura, la notificación de incidentes y los controles de los subencargados del tratamiento se vuelven fundamentales. En las relaciones descendentes, la responsabilidad compartida, las expectativas de seguridad básicas y las obligaciones del cliente cobran mayor importancia. Los acuerdos híbridos requieren una combinación de factores y límites muy claros para evitar brechas.

Uso de niveles basados ​​en riesgos para aportar estructura

Los niveles basados ​​en el riesgo convierten una larga lista de proveedores y clientes en algo con lo que puede trabajar. Al agrupar las relaciones en unas pocas clases basadas en el impacto, puede definir conjuntos de control estándar para cada nivel en lugar de diseñar cada relación desde cero.

Por ejemplo, podría crear tres niveles para los proveedores ascendentes:

  • Nivel 1: plataformas críticas con acceso privilegiado o que alojan datos de clientes.
  • Nivel 2: servicios de soporte importantes con acceso directo limitado a los sistemas del cliente.
  • Nivel 3: herramientas de bajo riesgo sin acceso a datos confidenciales ni entornos de producción.

En sentido descendente, se pueden adoptar niveles como “regulado”, “alta disponibilidad” y “estándar”, según la sensibilidad de los datos y el impacto comercial de las interrupciones.

Cada combinación de niveles ascendentes y descendentes genera diferentes expectativas. Una plataforma ascendente de Nivel 1 que respalda a un cliente regulado de atención médica exige mayor seguridad y controles más estrictos que una herramienta de Nivel 2 que respalda a un cliente estándar. Documentar estas combinaciones en patrones simples (por ejemplo, «MSP–hiperescalador–cliente regulado» frente a «MSP–distribuidor–MSP–empresa») permite diseñar conjuntos de controles estándar en lugar de empezar desde cero para cada nueva relación.

Una forma concisa de visualizar esto es a través de una pequeña matriz que muestra cómo las responsabilidades difieren según el tipo de relación.

Tipo de relación Responsabilidades ascendentes (ejemplos) Responsabilidades posteriores (ejemplos)
MSP – Plataforma en la nube – Cliente regulado Certificaciones, avisos de incidentes, segmentación, registros de acceso Aprobaciones, obligaciones de protección de datos, comunicación de seguridad al cliente
MSP – Herramienta de seguridad SaaS – clientes mixtos Integración segura, diseño de roles, monitoreo, revisión de proveedores Conocimiento del cliente sobre el alcance de la herramienta, consentimiento cuando sea necesario
MSP – MSP par (coadministrado) – cliente Definición de límites, gestión conjunta de incidentes, acceso compartido El cliente comprende la división de tareas y las vías de escalamiento.

Como sugiere la tabla, las responsabilidades varían significativamente entre, por ejemplo, un escenario de hiperescalado y un acuerdo de MSP cogestionado. En la práctica, puede empezar por mapear sus relaciones actuales según uno de estos patrones, confirmando qué responsabilidades corresponden a cada una y luego estandarizando las cláusulas contractuales y los manuales de procedimientos internos en función de dichos patrones.



Diseño de controles ascendentes para proveedores y subprocesadores

Los controles ascendentes definen cómo se seleccionan, incorporan, supervisan y desvinculan los proveedores y las plataformas de las que se depende. Un ciclo de vida simple y repetible convierte la confianza en el proveedor de una suposición en evidencia, respaldada por evaluaciones de riesgos, contratos y configuración. El Anexo A.5.21 prevé que este ciclo de vida sea proporcional al riesgo y se aplique de forma consistente a los proveedores más importantes.

Un buen diseño upstream convierte la confianza de un juicio informal en una decisión documentada. Esto implica comprender qué hace cada proveedor por usted, qué riesgos asume, qué controles aplican y cuáles debe implementar usted mismo. Un ciclo de vida basado en riesgos facilita la gestión y brinda a los auditores la seguridad de que no está tratando a los proveedores como si fueran una caja negra.

Construir un ciclo de vida del proveedor que los auditores reconozcan

Los auditores suelen buscar un ciclo de vida claro y basado en el riesgo para los proveedores críticos: cómo se evalúa a un proveedor antes de contratarlo, cómo se integran los controles al adoptarlos, cómo se mantiene la supervisión y cómo se da de baja de forma segura. Si se pueden mostrar estos pasos y la evidencia que los respalda, el Anexo A.5.21 resultará creíble y completo. Las directrices sobre riesgos de proveedores de institutos como SANS describen los ciclos de vida de proveedores basados ​​en el riesgo —que abarcan la selección, la incorporación, la supervisión continua y la salida— como un sello distintivo de una gestión de seguridad de terceros madura (informe técnico sobre riesgos de proveedores de SANS).

El informe Estado de la seguridad de la información 2025 indica que la mayoría de las organizaciones ya han fortalecido la gestión de riesgos de terceros y planean invertir más en ella.

Un ciclo de vida upstream práctico consta de cuatro etapas: diligencia debida previa a la contratación, incorporación, supervisión continua y salida. Para cada etapa, defina las expectativas de cada proveedor y los elementos que deben demostrar que se llevaron a cabo estas actividades.

Paso 1: Realizar la debida diligencia basada en riesgos

La diligencia debida basada en riesgos consiste en recopilar suficiente información para comprender la postura de seguridad de un proveedor y cómo se alinea con sus necesidades. Esto suele incluir certificaciones independientes, declaraciones de seguridad de alto nivel, resúmenes de pruebas, roles en el procesamiento de datos personales e información sobre subencargados del tratamiento. El resultado debe ser un registro de evaluación completo que explique por qué el proveedor es aceptable en el nivel seleccionado.

Paso 2: Incorporación con controles técnicos y contractuales concretos

La incorporación convierte la evaluación en controles concretos. En una plataforma crítica, esto podría incluir la configuración de una autenticación robusta, la restricción de roles administrativos, la habilitación e integración del registro y la aprobación de plazos de notificación de incidentes y puntos de contacto. Una sencilla lista de verificación de incorporación ayuda a garantizar que estos pasos no se omitan y que alguien sea claramente responsable de cada uno.

Paso 3: Mantener la supervisión habitual

La supervisión habitual debe ser breve, pero real. Para proveedores de alto impacto, establezca cadencias de revisión para confirmar que se mantienen las certificaciones, que los compromisos de seguridad siguen vigentes y que no se han producido cambios importantes sin su conocimiento. Para proveedores de menor nivel, las revisiones pueden activarse por eventos como cambios en el servicio, nuevos flujos de datos o incidentes. Los registros de estas revisiones, aunque breves, demuestran que la supervisión es activa y no supuesta.

Paso 4: Salga de forma segura y actualice su mapa de la cadena de suministro

La salida suele pasarse por alto, pero es crucial. Al dejar de usar un proveedor o cambiar a una nueva plataforma, debe existir un proceso definido para revocar el acceso, devolver o eliminar datos de forma segura y actualizar la documentación para que el mapa de la cadena de suministro se mantenga preciso. Una breve lista de verificación de salida y una entrada de registro actualizada demuestran que se ha cerrado la relación de forma controlada.

Los auditores no esperan la perfección, pero sí esperan ver que dicho ciclo de vida exista, esté basado en riesgos y se siga en la práctica para los proveedores críticos.

Ningún proveedor es perfecto, y el Anexo A.5.21 no exige perfección. Espera que usted tome decisiones informadas y documentadas sobre los riesgos que asume y los controles compensatorios que aplica, y que pueda explicar dichas decisiones a auditores y clientes.

No todos los proveedores cumplen con todos los controles ideales, y no todos necesitan hacerlo. Lo importante es su capacidad para explicar por qué una relación es aceptable dado el riesgo que conlleva. La estratificación ayuda, pero también necesita claridad sobre cuándo se siente cómodo heredando los controles del propio marco de seguridad de un proveedor y cuándo prefiere medidas compensatorias.

Por ejemplo, si un gran proveedor de nube cuenta con certificaciones ampliamente reconocidas y opera con un sólido estándar de seguridad, suele ser razonable confiar en ellas para muchos controles subyacentes, siempre que gestione su configuración de forma segura. Por el contrario, para una plataforma especializada más pequeña con una garantía menos formal, puede optar por limitar su alcance, exigir compromisos contractuales específicos o añadir su propia supervisión y pruebas.

La gestión de incidentes merece especial atención. En el caso de las plataformas principales, deben existir compromisos explícitos sobre la rapidez con la que se les notificará de un problema de seguridad, la información que recibirán y cómo coordinar las respuestas para proteger a sus clientes. Es mejor incluir estas expectativas en contratos o acuerdos de servicio, en lugar de dejarlas como meros acuerdos informales.

Documentar estos juicios en su registro de riesgos y la Declaración de Aplicabilidad demuestra a los auditores que el Anexo A.5.21 se aplica de forma rigurosa, no automática. Su Declaración de Aplicabilidad es simplemente su lista formal de controles del Anexo A, donde explica cuáles se aplican, cómo y por qué.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Diseño de controles posteriores para los clientes y sus obligaciones

Los controles posteriores definen cómo se comparte la responsabilidad con los clientes y qué se espera de ellos para mantener la seguridad de los servicios. Para los MSP, unos controles posteriores claros reducen el riesgo de ser culpados por exposiciones que afectan al cliente y demuestran a los reguladores que se han establecido expectativas adecuadas y documentadas. El Anexo A.5.21 refuerza la necesidad de que dichas expectativas sean explícitas, exigibles y estén respaldadas por evidencia.

En la práctica, el control posterior consiste en establecer límites y garantizar que todos los comprendan. Se define lo que se hace por defecto, lo que deben hacer los clientes y cómo se demostrará que ambas partes cumplen con sus responsabilidades. Cuando esto se hace bien, las conversaciones sobre incidentes, nuevos requisitos o servicios adicionales parten de un entendimiento común, en lugar de un desacuerdo sobre quién fue el responsable.

Diseño de modelos de responsabilidad compartida específicos para cada servicio

Un modelo de responsabilidad compartida útil indica a los clientes, en términos sencillos, qué partes de la seguridad son responsabilidad suya y cuáles son responsabilidad suya para un servicio determinado. Las distintas familias de servicios tienen diferentes divisiones, por lo que cada una necesita su propio modelo simple que refleje el diseño del servicio en la realidad. En este contexto, un modelo de responsabilidad compartida es simplemente una descripción clara de cómo se dividen las responsabilidades de seguridad entre usted y el cliente.

Para cada familia de servicios, construya un modelo de responsabilidad compartida que responda tres preguntas:

  • ¿Qué configuración y monitorización ofrece por defecto?
  • ¿Qué debe hacer el cliente para que esto sea efectivo?
  • ¿Cómo demostrará que ambas partes están haciendo su parte?

Por ejemplo, para un servicio administrado de Microsoft 365, sus responsabilidades podrían incluir la configuración de directivas de acceso condicional, la habilitación del registro y la supervisión de alertas clave. Las responsabilidades del cliente podrían incluir la precisión de los datos de los usuarios, la aplicación de directivas de uso aceptable y la respuesta inmediata a las notificaciones de seguridad. Para demostrar el modelo, se podrían elaborar informes periódicos de configuración y documentar las aprobaciones del cliente.

Estos modelos deben redactarse en un lenguaje accesible, reutilizarse en contratos y propuestas, y respaldarse con manuales internos que muestren a sus equipos cómo cumplir con su parte del trato. Cuando los clientes comprenden el modelo desde el principio, las conversaciones posteriores sobre incidentes de seguridad u obligaciones adicionales se basan en ese entendimiento compartido, en lugar de en expectativas puntuales.

Establecer obligaciones de los clientes y abordar el incumplimiento

Las obligaciones del cliente describen lo que deben hacer para que sus servicios sean eficaces y mantengan su propio riesgo dentro de límites aceptables. El Anexo A.5.21 espera que usted establezca estas obligaciones con claridad, las supervise siempre que sea posible y decida con antelación cómo gestionará las deficiencias.

Los controles posteriores suelen incluir obligaciones como:

  • Mantenimiento de sistemas operativos soportados.
  • Garantizar que el personal complete la capacitación sobre concientización sobre seguridad.
  • Habilitar la autenticación multifactor en sus propios sistemas.
  • Notificarle rápidamente sobre cambios relevantes en su entorno.

Estas obligaciones deben ser adecuadas al servicio y al perfil de riesgo, estar plasmadas en contratos o programas de seguridad y respaldadas por mecanismos sencillos para recopilar evidencia. Esto podría incluir certificaciones periódicas, verificaciones técnicas donde tenga visibilidad o resultados de revisiones conjuntas.

Es igualmente importante decidir con antelación cómo se gestionará el incumplimiento. Algunas deficiencias pueden mitigarse; otras pueden dar lugar a excepciones, cargos adicionales o, en casos extremos, a la negativa a prestar un servicio.

Paso 1: Definir cómo se identifica el incumplimiento

Decida qué obligaciones puede verificar técnicamente y cuáles dependen de las certificaciones de los clientes o reuniones de revisión. Registre las verificaciones en sus procesos o herramientas para que los incumplimientos sean visibles.

Paso 2: Decidir quién puede conceder y aprobar excepciones

Documente qué roles pueden aprobar excepciones temporales, bajo qué condiciones y por cuánto tiempo. Esto evita compromisos imprevistos que posteriormente se vuelven permanentes.

Paso 3: Registrar y revisar el riesgo residual

Asegúrese de que las excepciones y los casos de incumplimiento se registren en su registro de riesgos y se revisen en los foros de gobernanza correspondientes. Esto demuestra que está gestionando, y no ignorando, el riesgo residual.

Los modelos y obligaciones claros para las fases posteriores resultan atractivos para los clientes maduros. Demuestran que se toma en serio el riesgo y que está dispuesto a establecer y mantener límites razonables en lugar de aceptar promesas vagas e inaplicables.



Gobernanza, roles y ciclo de vida para el control de la cadena de suministro

La seguridad de la cadena de suministro solo escala cuando alguien la asume claramente y el resto de la organización comprende su parte. El Anexo A.5.21 se vuelve sostenible cuando se integra en la gobernanza, con roles, responsabilidades y ritmos de revisión definidos, en lugar de quedar como una tarea informal secundaria para la seguridad. Una gobernanza eficaz se basa menos en crear nuevas reuniones y más en formular mejores preguntas en las ya existentes.

Si la seguridad de la cadena de suministro se trata como un problema de alguien sin claridad, se desviará. Es necesario decidir quién es responsable del control, quién aporta información, quién realiza tareas específicas y con qué frecuencia se revisa el rendimiento. Una buena gobernanza se basa en decisiones claras y retroalimentación periódica, no en más reuniones.

Una gobernanza eficaz de la cadena de suministro implica formular mejores preguntas en las reuniones existentes.

Asignación de propiedad y RACI en toda la empresa

Un responsable de control designado define claramente el Anexo A.5.21, pero el éxito depende de la coordinación entre las áreas de compras, operaciones, legal y gestión de cuentas. Un modelo RACI simple deja claro quién hace qué, quién autoriza y quién debe mantenerse informado cuando cambian los riesgos de proveedores o clientes.

Un punto de partida práctico es nombrar a un único responsable del control para el Anexo A.5.21, que suele ser el responsable de seguridad de la información o el CISO virtual. Esta persona es responsable de garantizar que el control esté diseñado y funcionando, pero no puede ejecutarlo sola. Los departamentos de compras, legal, operaciones y gestión de cuentas desempeñan funciones importantes.

Una matriz RACI (Responsable, Responsable, Consultado, Informado) sencilla resulta útil. Por ejemplo, para la incorporación de un nuevo proveedor de Nivel 1:

  • El departamento de adquisiciones es responsable de garantizar que las cláusulas de seguridad acordadas estén en el contrato.
  • El responsable de seguridad de la información es responsable de aprobar la evaluación de riesgos y el nivel del proveedor.
  • Se consulta al área legal sobre términos complejos, excepciones y responsabilidades.
  • Las operaciones y la gestión de cuentas están informadas sobre las obligaciones que afectan la forma en que prestan servicios.

Cuando esta distribución está clara, los colegas dejan de ver el Anexo A.5.21 como “el problema de la persona ISO” y comienzan a comprender su propio papel para cumplirlo.

Elegir ritmos de gobernanza que se adapten a las operaciones

La gobernanza funciona mejor cuando las preguntas sobre la cadena de suministro se integran en reuniones que ya son importantes, como los comités de riesgos, las revisiones de gestión y las revisiones de servicio. El Anexo A.5.21 no requiere nueva burocracia; requiere que se formulen las preguntas correctas sobre proveedores y clientes en el momento oportuno y se registren las respuestas.

Es más probable que los controles se mantengan vigentes cuando se adaptan a los ritmos que la organización ya respeta. Para la seguridad de la cadena de suministro, esto podría significar:

  • Incluir temas clave sobre riesgos de proveedores y clientes como temas permanentes de la agenda en las juntas de revisión de riesgos o servicios existentes.
  • Programar revisiones periódicas de proveedores críticos y clientes de alto riesgo de acuerdo con los ciclos contractuales o cambios significativos.
  • Revisar los incidentes y cuasi accidentes relacionados con la cadena de suministro en las revisiones posteriores a los incidentes y aplicar las lecciones aprendidas en la gestión de proveedores y clientes.

Evite crear comités completamente nuevos a menos que los necesite; en su lugar, integre el Anexo A.5.21 en los foros de gobernanza establecidos. Por ejemplo, su revisión de gestión de la norma ISO 27001 puede abordar explícitamente el desempeño en relación con los indicadores de la cadena de suministro, como el número de proveedores críticos sin evaluaciones actuales, la frecuencia de incidentes relacionados con los proveedores o la puntualidad de las notificaciones de incidentes.

La gobernanza también debe extenderse a relaciones menos visibles, como los subcontratistas utilizados para cubrir horas extras o los proveedores de marca blanca que prestan servicios bajo su marca. La imagen de la cadena de suministro está incompleta sin ellos, y los incidentes que los involucran pueden ser igualmente perjudiciales. Garantizar que estén sujetos a la evaluación de riesgos, los controles contractuales y la supervisión forma parte de una implementación creíble del Anexo A.5.21.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


Integración de A.5.19–A.5.22 con los procesos de riesgo, proveedores y cambios

Los Anexos A.5.19–A.5.22 funcionan mejor cuando se integran en los procesos que ya utiliza para gestionar riesgos, proveedores, cambios e incidentes. En lugar de permanecer aislados como tareas ISO, deben reflejarse en su registro de riesgos, flujo de trabajo de compras, gestión de cambios y revisiones posteriores a incidentes, para que la consideración de la cadena de suministro forme parte de su trabajo diario. Esta integración es lo que convierte las declaraciones de política en un comportamiento coherente.

Dos tercios de las organizaciones que participaron en la encuesta sobre el estado de la seguridad de la información de 2025 afirmaron que la velocidad y el volumen de los cambios regulatorios están haciendo que el cumplimiento sea más difícil de mantener.

Diseñar políticas y modelos es necesario, pero no suficiente. Los controles de la cadena de suministro solo funcionan cuando se integran en los formularios, tickets y flujos de trabajo que ya se utilizan para solicitar cambios, integrar nuevas herramientas, evaluar riesgos y responder a incidentes. Los Anexos A.5.19–A.5.22 son más eficaces cuando se reflejan en cómo se registran los riesgos, se toman decisiones sobre los proveedores, se aprueban los cambios y se aprende de los incidentes.

Integrar el pensamiento de la cadena de suministro en los flujos de trabajo cotidianos

El primer paso es visibilizar el riesgo de la cadena de suministro de TIC junto con otros riesgos. Esto implica crear entradas de riesgo explícitas para servicios y proveedores críticos y registrar cómo planea abordar dichos riesgos. Una vez implementado esto, puede agregar pequeños puntos de control obligatorios a los flujos de trabajo que su equipo ya sigue para que las decisiones sobre proveedores y cambios reflejen automáticamente las expectativas del Anexo A.

Comience por asegurarse de que su registro central de riesgos registre explícitamente los riesgos de la cadena de suministro de TIC. Para cada proveedor principal de servicios y crítico, debe haber entradas de riesgo que reflejen el impacto potencial de su fallo o vulnerabilidad, junto con las soluciones elegidas. Esto sitúa el riesgo de la cadena de suministro junto con otras vulnerabilidades y ayuda a los directivos a comprender las compensaciones.

A continuación, integre los puntos de control de la cadena de suministro en los flujos de trabajo existentes:

  • Los procesos de adquisición deben incluir indicaciones para verificar si un proveedor propuesto cae dentro de un nivel de riesgo particular, si se ha completado la debida diligencia y si las plantillas de contrato incluyen las cláusulas de seguridad requeridas.
  • Las solicitudes de cambio que introducen o reemplazan herramientas o subprocesadores importantes deberían activar automáticamente la revisión de los impactos ascendentes y descendentes, no solo la compatibilidad técnica.
  • El diseño de servicios o los procesos de incorporación de nuevos clientes deben incluir pasos para aplicar el modelo de responsabilidad compartida adecuado y confirmar que las obligaciones posteriores estén documentadas y aceptadas.

Estos avisos a menudo se pueden agregar a formularios y plantillas de tickets con una fricción mínima, siempre que sean obligatorios para los escenarios que importan y las respuestas se registren de manera centralizada para que retroalimenten sus registros de ISMS.

Medición del rendimiento y aprendizaje a partir de incidentes

No se puede mejorar lo que no se ve. El Anexo A.5.21 cobra mucho más valor al monitorizar el funcionamiento de los controles de la cadena de suministro y al incorporar las lecciones aprendidas de los incidentes en los niveles, plantillas y manuales de estrategias. El objetivo no es reducir todos los números a cero, sino comprender dónde se encuentran realmente las mayores exposiciones en la cadena de suministro y demostrar que se están gestionando.

Una vez que los controles estén en funcionamiento, se necesita retroalimentación para mejorarlos. Algunas medidas útiles podrían incluir:

  • La proporción de proveedores críticos con evaluaciones de riesgos actualizadas y compromisos de seguridad documentados.
  • El número y la gravedad de los incidentes en los que la causa raíz involucró una relación ascendente o descendente.
  • El tiempo que lleva ser notificado de incidentes relevantes del proveedor y comunicarse con los clientes afectados.
  • La tasa de incumplimiento por parte de los clientes de obligaciones clave posteriores y la frecuencia con la que se conceden excepciones.

Cuando ocurren incidentes, el análisis de causa raíz debe distinguir deliberadamente entre fallos previos, problemas internos y debilidades posteriores. Esta distinción le indica dónde debe ajustar las expectativas, mejorar sus propias prácticas o ajustar las obligaciones de los clientes. Incorporar esta información a la clasificación de proveedores, las plantillas de contrato y los manuales de estrategias hace que la implementación del Anexo A.5.21 sea realmente iterativa, no estática.

Una plataforma SGSI dedicada puede ayudarle a conectar proveedores, servicios, clientes, riesgos y controles en un solo lugar, de modo que un solo cambio o incidente pueda rastrearse en todas las relaciones a las que afecta. Incluso si no está listo para adoptar dicha plataforma de inmediato, diseñar sus procesos de forma que los datos necesarios se puedan capturar de forma centralizada posteriormente es un paso pragmático hacia un SGSI más integrado.



Reserve una demostración con ISMS.online hoy mismo

ISMS.online le ayuda a migrar el Anexo A.5.21 de listas dispersas de proveedores y cláusulas contractuales a una imagen única y dinámica de su cadena de suministro de TIC, controles y evidencias. Al reemplazar hojas de cálculo, registros de correo electrónico y documentos aislados con un entorno conectado, podrá visualizar las relaciones ascendentes y descendentes con mayor claridad, rastrear responsabilidades y responder a preguntas complejas de clientes y auditores con mayor confianza.

Si sospecha que responder a un cuestionario complejo para clientes o una auditoría ISO 27001:2022 aún generaría problemas, es una señal para explorar un enfoque más estructurado. Ver claramente sus relaciones con los clientes, auditores y líderes, con responsabilidades y riesgos visibles de un vistazo, le brinda mayor confianza a clientes, auditores y líderes.

Cómo implementar A.5.21 en una parte de su cadena de suministro

Un piloto enfocado es la forma más sencilla de ver cómo se ve el Anexo A.5.21 cuando está completamente integrado en un SGSI. En lugar de intentar modelar todo el entorno de una sola vez, se centra en una pequeña parte representativa de la cadena de suministro y se comprueba si la estructura y las herramientas realmente reducen el esfuerzo y la incertidumbre.

Un piloto práctico podría comenzar con una plataforma crítica upstream y un cliente de alto riesgo. Podría importar estas relaciones a ISMS.online, asignarlas a los Anexos A.5.19–A.5.22 y capturar los elementos clave: evaluaciones de riesgo de proveedores, modelos de responsabilidad compartida, obligaciones del cliente y evidencia de monitoreo. Dentro de ese alcance limitado, puede ver si la plataforma reduce significativamente el esfuerzo, aclara la propiedad y mejora su preparación para las preguntas de auditores y clientes.

Al mantener un piloto pequeño, mantiene el control del alcance y evita sobrecargar a equipos ya de por sí ocupados. Al mismo tiempo, se proporciona ejemplos concretos (una entrada completa en el registro de riesgos, un ciclo de vida documentado del proveedor, una matriz de responsabilidad compartida) que puede mostrar a sus colegas y líderes al discutir cómo escalar el enfoque.

Qué llevar a una conversación de ISMS.online

Sacará el máximo provecho de una conversación sobre ISMS.online si presenta una visión general de su cadena de suministro actual y sus desafíos. Una breve preparación facilita ver cómo la plataforma podría adaptarse a su situación específica y si es adecuada para su organización.

Las entradas útiles suelen incluir:

  • Una lista de sus proveedores de TIC upstream más críticos y los servicios que respaldan.
  • Una lista corta de clientes de alto impacto, especialmente aquellos en sectores regulados.
  • Cualquier documento existente que describa responsabilidades compartidas, obligaciones del cliente o expectativas del proveedor.
  • Ejemplos de incidentes recientes relacionados con proveedores o clientes que fueron difíciles de gestionar.

Con estas aportaciones, el equipo de ISMS.online puede explicar cómo se verían sus relaciones reales dentro de la plataforma y cómo se aplicarían en la práctica los Anexos A.5.19–A.5.22. El objetivo no es proponer una solución genérica, sino mostrar, con sus propios ejemplos, cómo un SGSI vinculado podría simplificar el Anexo A.5.21 y mejorar la estructura de su cadena de suministro.

Si reconoce su propia organización en estos escenarios y desea probar un enfoque más integrado, ISMS.online está listo para explorar un piloto enfocado con usted, utilizando sus proveedores y clientes reales para ver si un ISMS conectado es el siguiente paso correcto para su MSP.

Contacto


Preguntas frecuentes

¿Cómo cambia la norma ISO 27001:2022 Anexo A.5.21 la forma en que un MSP debe pensar sobre su cadena de suministro de TIC?

El Anexo A.5.21 espera que gestione su cadena de suministro de TIC como un sistema único y gobernado, desde la plataforma en la nube hasta el resultado final del cliente, no como un conjunto de proveedores, herramientas y contratos desconectados. Para un MSP, esto significa que necesita una visión dinámica y defendible de cómo se vinculan los proveedores ascendentes, sus propios servicios y los clientes descendentes, y cómo gestiona el riesgo en toda esa cadena.

¿Qué significa realmente una “cadena de suministro de TIC de extremo a extremo” para un MSP?

De extremo a extremo significa que puede comenzar con un único servicio y rastrear:

  • Cual Productos y servicios de TIC En quien confías para entregarlo.
  • Cómo tu plataformas y procesos propios Siéntate en el medio.
  • Cual clientes o segmentos de clientes Se ven afectados si algo se rompe.

En lugar de “utilizamos el Proveedor X y atendemos al Cliente Y”, el Anexo A.5.21 asume que usted comprende y gobierna toda la ruta: Nube/plataformas → Herramientas y procesos de MSP → Entornos de clientesSi una plataforma central falla o se ve comprometida, ya debería saber qué servicios e inquilinos están expuestos y qué hará al respecto.

En la práctica, eso significa que puedes:

  • Señale un registro de proveedores que asigne proveedores de TIC a servicios y clases de riesgo.
  • Explique, en lenguaje sencillo, quién hace qué (usted, el proveedor, el cliente) para cada tipo de servicio.
  • Demuestre que esta imagen se mantiene actualizada cuando cambian los servicios, los proveedores o las regulaciones.

Si puede guiar a un auditor a través de ese piso usando registros cotidianos en lugar de un "paquete de auditoría" único, está tratando el Anexo A.5.21 como parte de cómo maneja el negocio, que es exactamente lo que están buscando.

¿Cómo se complementa el Anexo A.5.21 con los demás controles del proveedor del Anexo A.5 para un proveedor de servicios gestionados?

El Anexo A.5.21 retoma los temas generales sobre proveedores de los apartados A.5.19, A.5.20 y A.5.22 y los aplica específicamente a la infraestructura de TIC que sustenta sus servicios gestionados. Se centra menos en la creación de nuevos procesos y más en la integración de la selección de proveedores, los contratos, la supervisión y el cambio en un enfoque coherente para los productos y servicios de TIC.

¿Cómo encajan los controles de proveedores del Anexo A.5 en la cadena de suministro de TIC de un MSP?

Puedes pensar en los cuatro controles como un flujo:

  • A.5.19 – Seguridad de la información en las relaciones con proveedores: Decida dónde es importante la seguridad en su panorama de proveedores y cómo tenerla en cuenta en sus decisiones.
  • A.5.20 – Abordar la seguridad de la información en los acuerdos con proveedores: Convierta esas expectativas en cláusulas claras, adendas y descripciones de servicios.
  • A.5.21 – Gestión de la seguridad de la información en la cadena de suministro de las TIC: Aplique ese pensamiento a la red específica de plataformas, herramientas e integraciones de TIC que se encuentran bajo sus servicios administrados.
  • A.5.22 – Seguimiento, revisión y gestión de cambios de los servicios de los proveedores: Mantenga bajo revisión el riesgo y el desempeño de los proveedores y reaccione ante incidentes y cambios.

Para un MSP, esto generalmente se traduce en tres capacidades visibles:

  • A registro unido donde los proveedores de TIC están vinculados a servicios, calificaciones de riesgo y compromisos contractuales.
  • A patrón consistente para cómo incorporar, supervisar y salir de los proveedores de TIC, en lugar de tomar decisiones puntuales por correo electrónico.
  • A enlace rastreable desde esas actividades hasta las promesas dirigidas al cliente y su registro de riesgos interno.

Usar una plataforma como ISMS.online facilita la integración de estos puntos, ya que permite reunir proveedores, contratos, riesgos y controles de los Anexos A.5.19–A.5.22 en un solo lugar. Esto permite demostrar a auditores y clientes que se gestiona una cadena de suministro de TIC, no solo un archivador de acuerdos.

¿Cómo debería un MSP diseñar un ciclo de vida de proveedor de TIC ascendente que satisfaga el Anexo A.5.21 sin sobrecargar al equipo?

La manera más eficaz de cumplir con el Anexo A.5.21 en etapas iniciales es definir un ciclo de vida único y repetible para el proveedor y, posteriormente, ajustar la profundidad de las comprobaciones según el riesgo, no mediante conjeturas. Su equipo solo tiene que aprender un patrón, y usted reserva la debida diligencia rigurosa para los proveedores que realmente puedan perjudicarle a usted o a sus clientes.

¿Cómo es un ciclo de vida de proveedor de TIC práctico y repetible para un MSP?

Un ciclo de vida simple de cuatro etapas generalmente equilibra el esfuerzo y la seguridad:

  • Seleccione: Clasifique al proveedor según su impacto antes de comprometerse. Una plataforma que procesa datos de clientes o se encuentra en medio de su pila de gestión remota merece revisiones más exhaustivas que una empresa de servicios públicos de bajo valor.
  • A bordo: Convierta sus expectativas en controles concretos. Configure el acceso, el registro, las notificaciones de cambios, los canales de soporte y las condiciones de salida antes de la puesta en marcha.
  • Funcionar: Revise el rendimiento y el riesgo con una frecuencia razonable. Para plataformas críticas, programe al menos una revisión anual, además de verificaciones después de avisos de seguridad, incidentes o cambios significativos en el servicio.
  • Salir: Planifique cómo eliminará o migrará datos, revocará el acceso, cambiará dependencias y actualizará su propia documentación cuando abandone o degrade a un proveedor.

No necesita herramientas complejas para demostrar que sigue este ciclo de vida. Un registro de proveedores actualizado, notas breves de diligencia debida, listas de verificación de incorporación sencillas y registros de revisión básicos ya indican a los auditores que considera a los proveedores de TIC como parte de su SGSI.

ISMS.online puede fortalecer esto aún más al integrar el registro de proveedores, la evidencia del ciclo de vida y los controles vinculados de los Anexos A.5.19–A.5.22 en un solo entorno. Esto le ayuda a simplificar el proceso para su equipo, a la vez que presenta un patrón claro y consistente a clientes, auditores y socios.

¿Cómo puede un MSP definir responsabilidades compartidas con los clientes de manera que se cubra el Anexo A.5.21 sin convertir cada contrato en una novela legal?

En etapas posteriores, el Anexo A.5.21 se cumple cuando sus clientes pueden ver, en lenguaje sencillo, qué protege por defecto, qué deben hacer ellos mismos y cómo colaborarán cuando algo cambie o falle. No necesita un texto legal específico para cada transacción, pero sí necesita un pequeño conjunto de patrones de responsabilidad compartida que sus equipos comprendan y apliquen de forma coherente.

¿Cómo sería un modelo viable de responsabilidad compartida para servicios MSP comunes?

Un patrón práctico consiste en estandarizar los modelos por familia de servicios y mantener la misma estructura en cada caso. Para cada familia, se definen cuatro bloques:

  • Alcance del servicio: Qué cubre y qué no cubre este servicio administrado.
  • Tus responsabilidades: Por ejemplo, configuración de línea base, registro, copia de seguridad, supervisión, gestión de vulnerabilidades y coordinación de incidentes.
  • Responsabilidades del cliente: Por ejemplo, mantener los puntos finales compatibles, aplicar la autenticación multifactor, administrar quienes se unen y abandonan el servicio e informarle sobre cambios importantes.
  • Responsabilidades compartidas: Por ejemplo, revisar el acceso, aprobar cambios de alto riesgo o ejecutar comunicaciones sobre incidentes.

Luego puedes expresar estos modelos de varias maneras:

  • Resúmenes matrices de responsabilidad en propuestas, alcances de trabajo y documentos de incorporación.
  • Adendas de seguridad: que se adjuntan a los contratos sin reescribir los términos completos.
  • Manuales de ejecución internos: que sus equipos utilizan durante la incorporación, operación y gestión de incidentes.

Cuando un cliente necesita una excepción, se documenta esa desviación explícitamente en lugar de forzar el modelo silenciosamente. Una vez que estos patrones y excepciones se integran en su SGSI y se reflejan en su registro de riesgos, se puede demostrar que el riesgo posterior se gestiona de forma deliberada y no informal. Esto es precisamente lo que el Anexo A.5.21 pretende comprobar.

ISMS.online le ofrece un lugar central para almacenar y reutilizar estos modelos, vincularlos a servicios y clientes específicos, y mantener la redacción de contratos, los manuales internos y las entradas de riesgo alineados a medida que su cartera crece.

¿Cómo puede un MSP convertir una red compleja de proveedores, plataformas y clientes en un mapa claro de riesgos de la cadena de suministro de TIC que resista las revisiones del Anexo A.5.21?

La manera más sencilla de crear un mapa de riesgos de la cadena de suministro significativo es partir de cómo funcionan sus servicios actualmente, en lugar de partir de una lista estática de proveedores. Al seguir los flujos de datos y los puntos de control de izquierda a derecha, las relaciones más importantes para el Anexo A.5.21 tienden a revelarse.

¿Qué pasos prácticos crean un mapa de la cadena de suministro de TIC que los auditores puedan seguir?

Puedes construir el mapa en tres pasos independientes que se refuerzan entre sí:

  1. Vista de servicio: Enumere sus servicios administrados (por ejemplo, Microsoft 365 administrado, puntos finales administrados, respaldo administrado, nube coadministrada) y observe de qué plataformas, herramientas e integraciones ascendentes depende cada uno.
  2. Vista de la relación: Para cada servicio, enumere:
  • La sección río arriba Proveedores y plataformas TIC esenciales.
  • La sección río abajo clientes o grupos de clientes que consumen ese servicio.
  1. Visión de riesgo: Para cada segmento de proveedor o cliente de alto impacto, registre un riesgo separado que indique:
  • ¿Qué podría razonablemente salir mal (por ejemplo, una interrupción del servicio, una violación de datos o un cambio de licencia)?
  • Cómo afectaría esto a sus servicios y a los resultados de sus clientes.
  • ¿Qué controles, términos contractuales y prácticas operativas reducen la probabilidad o el impacto?

A muchos MSP les resulta útil un diagrama simple, incluso si nunca lo muestran externamente: Nube/plataformas → Herramientas y procesos de MSP → Entornos de clientesCon colores o iconos que muestran el riesgo relativo. Esta imagen le ayuda a decidir dónde invertir esfuerzos y ofrece a auditores y clientes una forma sencilla de comprender sus dependencias.

En ISMS.online, puede replicar esta estructura vinculando servicios, proveedores, clientes y riesgos en un solo entorno. Esto facilita enormemente la demostración de cómo se añade una nueva plataforma o un nuevo cliente al mapa, cómo se clasifica y cómo se actualizan consistentemente los riesgos y responsabilidades relacionados.

¿Qué registros cotidianos convencen a los auditores de la norma ISO 27001 de que un MSP está gestionando genuinamente el Anexo A.5.21 en lugar de simplemente nombrarlo en la documentación?

Los auditores suelen estar más interesados ​​en la coherencia de sus registros diarios que en el aspecto de sus herramientas. Para el Anexo A.5.21, quieren comprobar que comprende el origen del riesgo en la cadena de suministro de TIC, aplica un tratamiento repetible y puede demostrar dicho tratamiento sin crear una segunda empresa dedicada a la documentación de auditoría.

¿Qué artefactos normales suelen satisfacer el Anexo A.5.21 para los MSP sin construir una “industria de auditoría” paralela?

En la mayoría de los MSP, un conjunto compacto de registros es suficiente si está completo y se mantiene actualizado:

  • A registro de proveedores que enumera a los proveedores de TIC, los vincula a los servicios, muestra su clasificación de riesgo y registra las fechas de la última revisión.
  • Short notas de diligencia debida para proveedores de mayor riesgo, como referencias a certificaciones, respuestas a cuestionarios o evaluaciones de riesgos concisas.
  • Contratos o adendas de seguridad: que establecen expectativas de seguridad, reglas de notificación de incidentes, manejo de datos y condiciones del subprocesador.
  • Registros de seguimiento y revisión: , como tickets de revisión de servicio, actas de registros de proveedores o revisiones posteriores a incidentes que muestran cómo respondió.
  • Modelos de responsabilidad compartida: y cláusulas relacionadas en los contratos de los clientes, además de ejemplos reales de cómo actuar cuando no se cumplen las obligaciones de ambas partes.

En lugar de crear “paquetes de auditoría” separados, generalmente es más eficiente asegurarse de que sus documentos normales (listas de verificación de incorporación, registros de cambios, libros de ejecución, revisiones de incidentes y problemas) dejen automáticamente la evidencia que solicitará un auditor.

Si centraliza estos artefactos en ISMS.online y los vincula explícitamente a los controles del Anexo A y a los riesgos relevantes, podrá responder rápidamente a las preguntas de auditoría y a los cuestionarios de los clientes mediante el filtrado y la exportación desde un solo lugar. Con el tiempo, esto reduce el estrés de las auditorías, acorta los ciclos de ventas y ayuda a que su equipo sea reconocido por gestionar una cadena de suministro de TIC bien gestionada, en lugar de tener que esforzarse cada año para reconstruir la misma estructura desde cero.

¿Cómo puede un MSP utilizar ISMS.online para integrar el Anexo A.5.21 en el trabajo normal de la cadena de suministro en lugar de tratarlo como un proyecto de cumplimiento único?

El Anexo A.5.21 se vuelve manejable cuando se integra en la forma de comprar, prestar y revisar servicios, no cuando se trata como un estándar independiente para cumplir. ISMS.online apoya este cambio al ofrecerle un entorno único para conectar proveedores, servicios, clientes, riesgos, controles y evidencia, de modo que las acciones diarias mantengan el Anexo A.5.21 en buen estado de forma natural.

¿Qué aspecto tendrá el Anexo A.5.21 cuando esté realmente operativo en ISMS.online?

Un patrón realista para muchos MSP se ve así:

  • Mantienes una registro de proveedores en vivo en ISMS.online, clasificando a los proveedores de TIC por impacto y vinculando a cada uno de ellos con los servicios gestionados y los controles del Anexo A.5.19–A.5.22 que soporta.
  • Tu capturas debida diligencia, incorporación, seguimiento y actividades de salida como elementos de trabajo o tareas normales, por lo que la evidencia que necesita para el Anexo A.5.21 se acumula automáticamente a medida que su equipo trabaja con los proveedores.
  • Almacenas y reutilizas modelos de responsabilidad compartida como contenido estructurado, asignándolos a familias de servicios y grupos de clientes para que el lenguaje del contrato, los manuales de ejecución y las entradas de riesgo permanezcan alineados.
  • Tu enlace riesgos tanto para los proveedores ascendentes como para los clientes descendentes, por lo que un cambio en una parte de la cadena ajusta inmediatamente su visión de la exposición general de la cadena de suministro.

Una forma de empezar con poco riesgo es elegir un servicio importante, una plataforma crítica upstream y un cliente representativo, modelar esa cadena de principio a fin en ISMS.online y luego ejecutar un cambio o incidente real en el sistema. Si a sus equipos y a su auditor les resulta más fácil identificar las dependencias, explicar las obligaciones y recopilar evidencia a partir de ese único ejemplo, tendrá una sólida justificación interna para extender el mismo enfoque a una mayor parte de su cadena de suministro de TIC.

Con el tiempo, esta forma de trabajar ayuda a que su empresa sea vista no solo como "mantener los sistemas en funcionamiento", sino como una cadena de suministro de TIC trazable y bien gestionada que cumple con los cuestionarios de los clientes y las auditorías ISO 27001 con muchas menos interrupciones en su trabajo diario. Cuando esté listo para mostrarle esa historia a un cliente o auditor, ISMS.online le ofrece todo lo que necesita en un solo lugar, en lugar de dejar que lo recopile todo bajo presión.

Marcos Sharron

Mark Sharron lidera la Estrategia de Búsqueda e IA Generativa en ISMS.online. Su enfoque es comunicar cómo funcionan en la práctica las normas ISO 27001, ISO 42001 y SOC 2, vinculando el riesgo con los controles, las políticas y la evidencia con una trazabilidad lista para auditorías. Mark colabora con los equipos de producto y cliente para integrar esta lógica en los flujos de trabajo y el contenido web, ayudando a las organizaciones a comprender y demostrar la seguridad, la privacidad y la gobernanza de la IA con confianza.

Twitter

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.