Relación con proveedores

Relación con proveedores

Relación con proveedores

Antecedentes

Hoy en día casi todas las empresas necesitan contratar servicios especializados externos que den soporte a parte de su actividad. En estos casos de nada sirve asegurar al máximo nuestros sistemas si no exigimos la misma seguridad a los proveedores externos que puedan gestionar parte de nuestra información (sobre todo si es información sensible como la contemplada en el RGPD). Entre estos proveedores podemos destacar los siguientes grupos:

  • Proveedores de servicios tecnológicos. Aquellos que nos ofrecen servicios como alojamiento web, emisión de certificados, servicio de pasarelas de pago, servicios de almacenamiento en la nube, servicios de soporte informático (tanto presencial como remoto), etc. 

  • Proveedores de servicios no tecnológicos pero que acceden a datos corporativos. Tales como proveedores de servicios financieros, viajes, transporte, publicidad y marketing, etc. 

  • Suministradores de productos tecnológicos. Incluyen todos aquellos dónde adquirimos los dispositivos, los componentes hardware y las aplicaciones informáticas. 

La conectividad y complejidad de los sistemas de información actuales, hacen indispensable mantener el control sobre la seguridad de la información de la empresa, aun cuando esta esté siendo gestionada por terceros.

Objetivos

Controlar que toda relación con proveedores, y en particular aquellos que tienen acceso a nuestra información, está suficientemente protegida en base a los acuerdos y contratos correspondientes. Esta protección debe contemplarse antes, durante y a la finalización del servicio. Nos aseguraremos también de que los productos y servicios contratados cumplen con los requisitos de seguridad establecidos por la empresa.

Puntos clave

Los puntos clave de esta política son:

  • Requisitos de seguridad en productos y servicios. Debemos definir los requisitos en Ciberseguridad que deben cumplir los productos o servicios que adquiramos a proveedores. Estos requisitos serán coherentes con las políticas de seguridad de la información de la organización y los extenderemos a proveedores, suministradores, colaboradores, partners, canales de ventas y distribución, etc. 

  • Definir cláusulas contractuales en materia de seguridad de la información. Con el fin de establecer contratos y acuerdos rigurosos en materia de ciberseguridad, debemos detallar las cuestiones más relevantes que deben reflejarse en los contratos con nuestros proveedores. Todos estos aspectos se pueden reflejar en contratos y acuerdos de confidencialidad y de acceso a datos: 

    • determinar qué información es accedida, cómo puede ser accedida y la clasificación y protección de la misma; 

    • asegurarnos de que una vez finalizado el contrato, el proveedor ya no podrá acceder o mantener la información sensible de nuestra organización;  

    • reflejar los requisitos legales oportunos: 

      • cumplimiento del RGPD

      • cumplimiento de la LSSI, 

      • cumplimento de los derechos de propiedad intelectual. 

    • reflejar el derecho de auditoría y de control sobre aspectos relevantes del acuerdo; 

    • incluir las situaciones que conlleven la finalización del contrato; 

    • definir las garantías específicas: 

      • penalizaciones económicas en caso de incumplimiento, 

      • perjuicios económicos por inactividad, 

      • certificaciones y garantías adicionales. 

  • Definir las responsabilidades concretas por ambas partes. Estableceremos  por contrato, y con posibles penalizaciones, si es el proveedor o somos nosotros los responsables de cada aspecto relativo a la seguridad: 

    • controlar quién accede o transforma la información sensible y por qué; 

    • realizar el backup y cuando; 

    • controla los logs, etc.; 

    • activar, mantener y controlar los sistemas de seguridad: antimalwarefirewall, cifrado de comunicaciones, etc. 

  • Definir los ANS (Acuerdos de Nivel de Servicio). Con el fin de establecer las características de calidad y las garantías del servicio adquirido, debemos definir y firmar los ANS (o SLA en inglés) correspondientes con los proveedores. Los aspectos más relevantes para definir un ANS son: 

    • responsabilidades de cada una de las partes; 

    • duración del acuerdo; 

    • detalle del nivel de servicio ofrecido. Incluyendo: 

      • tasas de error permitidas, 

      • disponibilidad horaria, 

      • tiempos de respuesta y resolución, 

      • canales de contacto, 

      • proceso de escalado y notificación ante incidentes, 

      • procedimientos para la resolución de problemas e incidencias., 

      • personal asignado al servicio. 

    • procedimientos para el seguimiento y control del servicio; 

    • sanciones en caso de incumplimiento; 

    • medición de la satisfacción por el servicio recibido. 

  • Controles de seguridad obligatorios. Para asegurar la contratación de un servicio externo seguro debemos identificar los controles de seguridad que consideramos de obligado cumplimiento. Estos controles deben tener en cuenta los siguientes aspectos: 

    • servicios y componentes informáticos a los que la organización permite el acceso; 

    • qué información relevante de la organización puede ser accedida y con qué método de acceso; 

    • como gestionar cualquier incidencia relacionada con el acceso de los proveedores a nuestros sistemas; 

    • revisión del cumplimiento de los ANS acordados. 

  • Formar parte de los foros y organizaciones de usuarios de los productos/servicios software utilizados. Puede resultar de gran interés participar en foros y asociaciones sobre productos que hayamos adquirido. De esta manera tendremos la posibilidad de consultar las principales funcionalidades, novedades y vulnerabilidades acerca de los mismos. Además, revisaremos la reputación de nuestros proveedores así como las certificaciones y sellos de calidad que poseen. 

  • Certificación de los servicios contratados. En servicios especialmente críticos podemos exigir a las empresas la garantía de que posean algunas de las certificaciones referentes a la calidad en la gestión de la seguridad de la información. Entre estas, cabría destacar las siguientes: 

    • certificación ISO 27001 de Sistemas de gestión de la seguridad de la información.

    • certificación ISO 22301 de Gestión de continuidad de negocio. 

  • Auditoría y control de los servicios contratados. Para asegurar en todo momento la calidad del servicio contratado debemos establecer la manera de monitorizar, revisar y auditar el servicio de tus proveedores en aspectos relacionados con la ciberseguridad. Necesitaremos establecer la manera de gestionar cualquier problema surgido con productos o servicios de nuestros proveedores. Extenderemos estas prácticas a toda la cadena de suministro.  

  • Finalización de la relación contractual. Es importante garantizar la seguridad de la información tas la finalización de los servicios contratados. Para ello debemos formalizar las acciones a llevar a cabo una vez finalizado el servicio: 

    • señalar los activos que han de ser devueltos; 

    • eliminación de permisos de acceso; 

    • borrado de información sensible de la organización almacenada en los sistemas del proveedor. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.